Sujet Précédent Sujet Suivant

À l'aide:Fenêtre intempestive Trojan.HBO.agz

Résolu/Fermé
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011 - 31 déc. 2007 à 05:06
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 8 janv. 2008 à 07:48
Bonjour! Voici mon problème:Depuis 2 jours,je click sur les liens de google et je suis redirigé vers un autre site,parfois porno.Je sais pas si ca a rapport,mais a l'occasion j'ai des alerte en bas a droite comme quoi je serais peut-être infecté + l'ouverture d'une page qui propose par ''hasard''des anti-virus!J'ai ad-aware,spybot,a-squared+ccleaner+avg anti-spyware+ mcafee+zone alarme,j'ai essayé smitfraudfix qui n'a rien détecté, rien a faire ca persiste toujours!Je sais pas si cé mon problème mais AVG anti-spyware a trouvé un virus "Trojan.HBO.agz" mais il n'est pas capable de s'en débarasser completement,voici le rapport d'AVG:


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15:06:40 2007-12-29

+ Résultat de l'analyse:



HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-21-117609710-1563985344-1060284298-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
C:\WINDOWS\system32\diactfrmv.dll -> Trojan.BHO.agz : Ignoré.


Fin du rapport

Merci d'avance!

23 réponses

  • 1
  • 2
Réponse 1 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
31 déc. 2007 à 08:36
Bonjour,

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
0
Réponse 2 / 23
Vinie
31 déc. 2007 à 16:34
J'ai rigoureusement le même problème avec le Trojan.BHO.AGZ.

J'ai essayé de fixer les entrées suspicieuses idoines avec hijackthis, sans succès...
Dans mon cas, elles correspondent à deux fichiers C:\windows\system32\dmutilp.dll et C:\system32\asfsipci.dll insupprimables, étant identifées comme de faux modules complémentaires d'IE 7.
En fait, j'ai d'abbord attrappé le virus small.bb (un backdoor) via IE qui a infecté mon winlogon.exe. En effet, ce dernier tentait de notifier quelque chose (surement un fausse information) à un faux serveur microsoft. J'ai autorisé une fois avec mon fw la sortie vers le serveur mentionné et puis j'ai eu le problème mentionné préalablement. J'ai donc conclu qu'il fallait modifer la règle dans mon fw et l'ai bloqué car par la suite en sortie, car dans le même temps j'ai obtenu beaucoup de demandes de sorties et d'entrées sur le net du winlogon.exe et du rundll32.exe vers des serveurs inconnus sur le port smtp 25 ou http 80. Mon pc, serait donc devenu un zombie si mon fw (outpost d'agnitum) n'était pas actuellement configuré en mode "bloquer la plupart"...
En plus, de ce qui a été dit par b. y . o. b , j'ai essayé le syscleaner de trend avec la dernière maj de signatures officielle d'hier soir (en mode sans échecs), qui n'a absolument rien trouvé comme malware.
Les autres symptômes de ma machine dans leur ordre d'apparition :
- Dans la barre des tâches est apparue une icone indiquant une fausse alerte de détection de spy et le lien vers la panacée qui pourrait m'en débarasser (je me suis gardée de cliquer ...)
-La maj automatique de windows etant activée et mon pc n'etant pas connecté à Internet, il y a eu une maj de windows prête à être installée.... Inutile de préciser que j'ai aussi désactivé pour l'instant les maj windows.

Mon pc est il bien surinfecté par au moins : un rootkit, un backdoor, un downloader ?
Il y a quelques fichiers de ma partition de données que je n'ai pas eu le temps de sauvegarder sur disque dur externe pensez-vous que je doive prendre le risque de les récupérer avant de tout réinstaller ?
Il s'agit de fichiers de musique personnelle au format mp3 notamment et de quelques fichiers vidéos au format .avi.

Merci de vos réponse.
P.S. (j'ai désactivé la restauration automatique de windows avant toutes les manip)
0
Réponse 3 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
31 déc. 2007 à 18:02
Re,

Vinie, Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm

Je ne répondrai pas à tes autres messages sur ce post.
A bientôt



b.y.o.b

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner
0
Réponse 4 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
31 déc. 2007 à 21:29
Voici le rapport de combofix:

ComboFix 07-12-31.4 - Annie 2007-12-31 15:00:32.1 - NTFSx86
Running from: C:\Documents and Settings\Annie\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\else.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
.

2007-12-31 14:56 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-30 15:21 . 2007-12-30 16:42 3,490 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-30 15:20 . 2007-12-30 16:45 <REP> d-------- C:\Program Files\SmitfraudFix
2007-12-30 15:16 . 2007-12-30 15:16 1,129,580 --a------ C:\Program Files\SmitfraudFix.exe
2007-12-30 09:51 . 2007-12-30 09:51 <REP> d-------- C:\Program Files\EsetOnlineScanner
2007-12-29 13:54 . 2007-12-29 13:54 <REP> d-------- C:\Documents and Settings\Annie\Application Data\Grisoft
2007-12-29 13:50 . 2007-12-29 13:50 <REP> d-------- C:\Program Files\CCleaner
2007-12-29 13:47 . 2007-12-29 13:47 2,724,328 --a------ C:\Program Files\ccsetup203.exe
2007-12-29 13:41 . 2007-12-29 13:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-29 13:41 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-29 13:40 . 2007-12-29 13:40 12,413,440 --a------ C:\Program Files\avgas-setup-7.5.1.43.exe
2007-12-28 14:33 . 2007-12-29 07:36 <REP> d-------- C:\Program Files\a-squared Anti-Malware
2007-12-28 14:26 . 2007-12-28 14:26 25,618,144 --a------ C:\Program Files\a2AntiMalwareSetup.exe
2007-12-28 14:11 . 2007-12-28 14:11 0 --a------ C:\WINDOWS\LAYOUT.INI
2007-12-28 14:09 . 2007-12-28 14:09 348,160 --a------ C:\WINDOWS\eSellerateEngine.dll
2007-12-27 11:01 . 2007-12-27 11:01 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-12-27 11:01 . 2007-12-27 11:01 741,632 --a------ C:\WINDOWS\system32\fdulgolt.dat
2007-12-27 11:01 . 2007-12-27 11:01 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2007-12-27 11:01 . 2007-12-27 11:01 42,240 --a------ C:\WINDOWS\system32\mralrqwl.dat
2007-12-27 11:01 . 2007-12-27 11:01 36,096 --a------ C:\WINDOWS\system32\twdrrquu.dat
2007-12-27 11:01 . 2007-12-27 11:01 35,072 --a------ C:\WINDOWS\system32\gwxlidbq.dat
2007-12-24 10:13 . 2007-12-27 11:01 120,576 --a------ C:\WINDOWS\system32\lbxnwkxm.dat
2007-12-24 10:11 . 2001-08-28 07:00 84,992 --a------ C:\WINDOWS\system32\diactfrmv.dll
2007-12-24 10:11 . 19,584 C:\WINDOWS\system32\drivers\kabymbkc.dat
2007-12-24 10:09 . 2007-12-26 13:00 <REP> d-------- C:\WINDOWS\system32\AppCert
2007-12-24 10:08 . 2007-12-24 10:08 16,384 --a------ C:\WINDOWS\system32\fyyv433b.exe
2007-12-24 10:07 . 2001-08-28 07:00 83,968 --a------ C:\WINDOWS\system32\else.dll
2007-12-16 11:17 . 2007-12-16 11:17 15,942,656 --a------ C:\Program Files\IE7Setup.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 20:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-28 19:02 5,154,304 ----a-w C:\Program Files\WindowsDefender.msi
2007-12-14 01:13 --------- d-----w C:\Documents and Settings\Annie\Application Data\FrostWire
2007-11-20 00:40 --------- d-----w C:\Program Files\FrostWire
2007-04-05 09:01 6,864,896 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_15_14_41_53_full.dmp.zip
2007-03-06 17:28 3,060,095 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2006-12-13 19:02 90,986 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_12_21_26_27_small.dmp.zip
2006-12-12 23:13 110,791 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_07_12_16_16_small.dmp.zip
2006-12-03 03:47 95,058 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_29_02_23_31_small.dmp.zip
2006-12-03 03:47 93,373 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_02_03_38_19_small.dmp.zip
2006-11-12 13:37 95,648 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_12_08_14_48_small.dmp.zip
2006-11-12 13:37 93,451 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_11_23_16_55_small.dmp.zip
2006-11-12 04:00 109,608 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_11_08_23_44_small.dmp.zip
2006-10-09 20:18 1,479,884 ----a-w C:\Program Files\picmaster.exe
2006-10-09 20:06 465,899 ----a-w C:\Program Files\imagegrab30fr.zip
2006-09-11 00:08 4,135,461 ----a-w C:\Program Files\FrostWireWin_4.10.9_Beta.exe
2005-09-29 15:51 976,020 ----a-w C:\Program Files\BDAXP.cab
2005-09-29 15:51 916,815 ----a-w C:\Program Files\Oct2005_MDX_x86.cab
2005-09-29 15:51 86,784 ----a-w C:\Program Files\Oct2005_xinput_x64.cab
2005-09-29 15:51 74,448 ----a-w C:\Program Files\DSETUP.dll
2005-09-29 15:51 74,430 ----a-w C:\Program Files\dxupdate.cab
2005-09-29 15:51 703,080 ----a-w C:\Program Files\BDA.cab
2005-09-29 15:51 488,656 ----a-w C:\Program Files\DXSETUP.exe
2005-09-29 15:51 46,085 ----a-w C:\Program Files\Oct2005_xinput_x86.cab
2005-09-29 15:51 41,888 ----a-w C:\Program Files\dxdllreg_x86.cab
2005-09-29 15:51 2,245,840 ----a-w C:\Program Files\dsetup32.dll
2005-09-29 15:51 15,493,481 ----a-w C:\Program Files\DirectX.cab
2005-09-29 15:51 13,265,040 ----a-w C:\Program Files\dxnt.cab
2005-09-29 15:51 1,351,430 ----a-w C:\Program Files\Aug2005_d3dx9_27_x64.cab
2005-09-29 15:51 1,156,363 ----a-w C:\Program Files\BDANT.cab
2005-09-29 15:51 1,078,532 ----a-w C:\Program Files\Aug2005_d3dx9_27_x86.cab
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8C3C1757-1ABC-42F7-BE3A-3A54FE473A49}]
2001-08-28 07:00 84992 --a------ C:\WINDOWS\System32\diactfrmv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E4D432F5-C5D5-4F6D-9780-715F62647F70}]
2001-08-28 07:00 83968 --a------ c:\windows\system32\else.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 07:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 14:53 307200]
"0z5imhw697e"="C:\DOCUME~1\Annie\LOCALS~1\Temp\crasos.exe" [ ]
"fyyv433b"="C:\WINDOWS\system32\fyyv433b.exe" [2007-12-24 10:08 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fyyv433b"="C:\WINDOWS\system32\fyyv433b.exe" [2007-12-24 10:08 16384]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe" [2006-05-03 01:56 36975]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2003-09-29 06:10 81990]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2003-09-10 02:11 135251]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"wosa"="C:\DOCUME~1\Annie\LOCALS~1\Temp\woso.exe" [ ]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-03 15:34 185632]
"a-squared"="C:\Program Files\a-squared Anti-Malware\a2guard.exe" [2007-12-28 15:33 1816208]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 04:25 6731312]
"combofix"="C:\WINDOWS\system32\cmd.exe" [2001-08-28 07:00 388096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 07:00 13312]
"Symantec NetDriver Warning"="C:\PROGRA~1\SYMNET~1\SNDWarn.exe" [2004-10-29 08:52 218232]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tggprogj]
else.dll 2001-08-28 07:00 83968 C:\WINDOWS\system32\else.dll

R0 mnqiacei;mnqiacei;C:\WINDOWS\System32\drivers\kabymbkc.dat []
R2 UMAXPCLS;Pilote de scanneur pour port imprimante;C:\WINDOWS\System32\DRIVERS\umaxpcls.sys [2001-08-17 21:58]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
swcfygfd

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-29 02:33:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 15:12:40
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-31 15:23:21 - machine was rebooted
C:\qoobox\ComboFix-quarantined-files.txt 2007-12-31 20:23:04


Je vais maintenant faire la procédure de highjack this que tu m'a demandé,je te la post des que je l'ai!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
31 déc. 2007 à 21:39
Voici le rapport de Highjack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:45, on 2007-12-31
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\fyyv433b.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {8C3C1757-1ABC-42F7-BE3A-3A54FE473A49} - C:\WINDOWS\System32\diactfrmv.dll
O2 - BHO: (no name) - {E4D432F5-C5D5-4F6D-9780-715F62647F70} - c:\windows\system32\else.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [fyyv433b] C:\WINDOWS\system32\fyyv433b.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [fyyv433b] C:\WINDOWS\system32\fyyv433b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O20 - Winlogon Notify: tggprogj - C:\WINDOWS\SYSTEM32\else.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GuiHook - Unknown owner - C:\PROGRA~1\NETSUP~1\guihook.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Remote Access Control-Connection Manager (RassMan) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 6 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
1 janv. 2008 à 14:37
Bonjour,

1) ->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

2)

1 : démarrer, exécuter et tu tapes notepad dans la fenêtre puis OK

2: Dans le bloc-notes tu copies le texte en gras

sc stop "Access Task Manager"
sc delete "Access Task Manager"
sc stop RassMan
sc delete RassMan
del delete.bat

3. sauvegarde le fichier sous le nom "delete.bat". <== Enregistre le bien avec les quotes. Vérifie aussi dans la fenêtre où tu enregistres que tu as Tous les fichiers et non fichier texte ou .txt
4. Double click delete.bat.

3) Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
mnqiacei

File::
C:\WINDOWS\eSellerateEngine.dll
C:\WINDOWS\system32\libeay32.dll
C:\WINDOWS\system32\fdulgolt.dat
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\mralrqwl.dat
C:\WINDOWS\system32\twdrrquu.dat
C:\WINDOWS\system32\gwxlidbq.dat
C:\WINDOWS\system32\lbxnwkxm.dat
C:\WINDOWS\system32\diactfrmv.dll
C:\WINDOWS\system32\drivers\kabymbkc.dat
C:\WINDOWS\system32\fyyv433b.exe
C:\WINDOWS\system32\else.dll
C:\DOCUME~1\Annie\LOCALS~1\Temp\crasos.exe
C:\DOCUME~1\Annie\LOCALS~1\Temp\woso.exe

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8C3C1757-1ABC-42F7-BE3A-3A54FE473A49}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E4D432F5-C5D5-4F6D-9780-715F62647F70}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"0z5imhw697e"=""
"fyyv433b"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fyyv433b"=""
"wosa"=""
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tggprogj]

Enregistre ce fichier sous le nom CFscript

* Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe.

* clique sur l'icône de CFScript, garde le doigt enfoncé, glisse la souris jusqu'à ce que l'icône de CFscript vienne recouvrir celle de Combofix et relache le doigt de la souris. Combofix va démarrer.

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis


* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

4) Si l'ordi n'a pas redémarré, redémarre le.

remets un rapport Hijackthis.

5) Pourquoi tu n'as pas le SP2 d'installé ?
0
Réponse 7 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
1 janv. 2008 à 18:39
AVG anti-spyware me spécifie toujours de la présence du trojan.bho.agz,voici mon rapport d'highjack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:36:59, on 2008-01-01
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\fyyv433b.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {8C3C1757-1ABC-42F7-BE3A-3A54FE473A49} - C:\WINDOWS\System32\diactfrmv.dll
O2 - BHO: (no name) - {E4D432F5-C5D5-4F6D-9780-715F62647F70} - c:\windows\system32\else.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [fyyv433b] C:\WINDOWS\system32\fyyv433b.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [fyyv433b] C:\WINDOWS\system32\fyyv433b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O20 - Winlogon Notify: tggprogj - C:\WINDOWS\SYSTEM32\else.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GuiHook - Unknown owner - C:\PROGRA~1\NETSUP~1\guihook.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Remote Access Control-Connection Manager (RassMan) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 8 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
1 janv. 2008 à 19:14
Re,

1) le rapport de combofix comme demandé

2) le rapport de AVG qui décèle encore le trojan

3) la réponse à la question sur la non installation du SP2
0
Réponse 9 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
2 janv. 2008 à 14:53
Excuse-moi Lyonnais92,mais cé quoi sp2?
0
Réponse 10 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
2 janv. 2008 à 17:27
Re,

le SP2 est un ensemble de modifications et ajout à Windows Xp qui comble des failles de sécurité et ajoute quelques fonctions.
0
Réponse 11 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
4 janv. 2008 à 02:34
Salut Lyonnais92,j'ai parlé a mon beau-père qui a donné l'ordi à ma blonde et il dit que je n'ai pas une version originale de windows et que par le fait même je ne peut pas télécharger le sp2 que tu dit que je n'ai pas,est-ce vrai?Ce trojan,si il est la cause de mon problème commence vraiment à me taper sur les nerfs!
0
Réponse 12 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
4 janv. 2008 à 08:14
Bonjour,

exact, si ton windows n'est pas légitime, tu n'auras pas accès au SP2.

Le trojan, on va l'avoir.

=========================

Tu fais :

Démarrer -> executer

Tu tape services.msc dans le cadre de saisie

La fenêtre des services s'ouvre

Tu fais clic droit sur "Remote Access Control-Connection Manager (RassMan)"

La fenêtre des propriétés s'ouvre.

Tu mets "type de démarrage" sur « arrêté » et "Statut du service" sur « désactivé ».

=============================

Tu refais la manip 3) du post 6 et tu postes le rapport Combofix. Il faut que je vois ce qui se passe.

Si AVG détecete encore le trojan, tu mets le rapport AVG ensuite.
0
Réponse 13 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
5 janv. 2008 à 04:00
Merci Lyonnais92 ,
Je t'envoie tout ca dès que j'ai terminé!
0
Réponse 14 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
5 janv. 2008 à 05:00
Re bonjour!
voici le rapport combofix:

ComboFix 07-12-31.4 - Annie 2008-01-04 22:14:04.3 - NTFSx86
Running from: C:\Documents and Settings\Annie\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Annie\Bureau\CFscript.txt
* Created a new restore point

FILE
C:\DOCUME~1\Annie\LOCALS~1\Temp\crasos.exe
C:\DOCUME~1\Annie\LOCALS~1\Temp\woso.exe
C:\WINDOWS\eSellerateEngine.dll
C:\WINDOWS\system32\diactfrmv.dll
C:\WINDOWS\system32\drivers\kabymbkc.dat
C:\WINDOWS\system32\else.dll
C:\WINDOWS\system32\fdulgolt.dat
C:\WINDOWS\system32\fyyv433b.exe
C:\WINDOWS\system32\gwxlidbq.dat
C:\WINDOWS\system32\lbxnwkxm.dat
C:\WINDOWS\system32\libeay32.dll
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\mralrqwl.dat
C:\WINDOWS\system32\twdrrquu.dat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\diactfrmv.dll
C:\WINDOWS\system32\drivers\kabymbkc.dat
C:\WINDOWS\system32\else.dll
C:\WINDOWS\system32\fdulgolt.dat
C:\WINDOWS\system32\fyyv433b.exe
C:\WINDOWS\system32\gwxlidbq.dat
C:\WINDOWS\system32\lbxnwkxm.dat
C:\WINDOWS\system32\libeay32.dll
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\mralrqwl.dat
C:\WINDOWS\system32\twdrrquu.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_MNQIACEI
-------\mnqiacei


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-05 to 2008-01-05 ))))))))))))))))))))))))))))))))))))
.

2007-12-31 15:35 . 2007-12-31 15:35 <REP> d-------- C:\Program Files\Trend Micro
2007-12-31 14:56 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-30 15:21 . 2007-12-30 16:42 3,490 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-30 15:20 . 2008-01-04 21:47 <REP> d-------- C:\Program Files\SmitfraudFix
2007-12-30 15:16 . 2007-12-30 15:16 1,129,580 --a------ C:\Program Files\SmitfraudFix.exe
2007-12-30 09:51 . 2007-12-30 09:51 <REP> d-------- C:\Program Files\EsetOnlineScanner
2007-12-29 13:54 . 2007-12-29 13:54 <REP> d-------- C:\Documents and Settings\Annie\Application Data\Grisoft
2007-12-29 13:50 . 2007-12-29 13:50 <REP> d-------- C:\Program Files\CCleaner
2007-12-29 13:47 . 2007-12-29 13:47 2,724,328 --a------ C:\Program Files\ccsetup203.exe
2007-12-29 13:41 . 2007-12-29 13:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-29 13:41 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-29 13:40 . 2007-12-29 13:40 12,413,440 --a------ C:\Program Files\avgas-setup-7.5.1.43.exe
2007-12-28 14:33 . 2008-01-04 21:50 <REP> d-------- C:\Program Files\a-squared Anti-Malware
2007-12-28 14:26 . 2007-12-28 14:26 25,618,144 --a------ C:\Program Files\a2AntiMalwareSetup.exe
2007-12-28 14:11 . 2007-12-28 14:11 0 --a------ C:\WINDOWS\LAYOUT.INI
2007-12-24 10:09 . 2007-12-26 13:00 <REP> d-------- C:\WINDOWS\system32\AppCert
2007-12-16 11:17 . 2007-12-16 11:17 15,942,656 --a------ C:\Program Files\IE7Setup.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 20:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-28 19:02 5,154,304 ----a-w C:\Program Files\WindowsDefender.msi
2007-12-14 01:13 --------- d-----w C:\Documents and Settings\Annie\Application Data\FrostWire
2007-11-20 00:40 --------- d-----w C:\Program Files\FrostWire
2007-04-05 09:01 6,864,896 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_15_14_41_53_full.dmp.zip
2007-03-06 17:28 3,060,095 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2006-12-13 19:02 90,986 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_12_21_26_27_small.dmp.zip
2006-12-12 23:13 110,791 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_07_12_16_16_small.dmp.zip
2006-12-03 03:47 95,058 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_29_02_23_31_small.dmp.zip
2006-12-03 03:47 93,373 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_12_02_03_38_19_small.dmp.zip
2006-11-12 13:37 95,648 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_12_08_14_48_small.dmp.zip
2006-11-12 13:37 93,451 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_11_23_16_55_small.dmp.zip
2006-11-12 04:00 109,608 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_11_08_23_44_small.dmp.zip
2006-10-09 20:18 1,479,884 ----a-w C:\Program Files\picmaster.exe
2006-10-09 20:06 465,899 ----a-w C:\Program Files\imagegrab30fr.zip
2006-09-11 00:08 4,135,461 ----a-w C:\Program Files\FrostWireWin_4.10.9_Beta.exe
2005-09-29 15:51 976,020 ----a-w C:\Program Files\BDAXP.cab
2005-09-29 15:51 916,815 ----a-w C:\Program Files\Oct2005_MDX_x86.cab
2005-09-29 15:51 86,784 ----a-w C:\Program Files\Oct2005_xinput_x64.cab
2005-09-29 15:51 74,448 ----a-w C:\Program Files\DSETUP.dll
2005-09-29 15:51 74,430 ----a-w C:\Program Files\dxupdate.cab
2005-09-29 15:51 703,080 ----a-w C:\Program Files\BDA.cab
2005-09-29 15:51 488,656 ----a-w C:\Program Files\DXSETUP.exe
2005-09-29 15:51 46,085 ----a-w C:\Program Files\Oct2005_xinput_x86.cab
2005-09-29 15:51 41,888 ----a-w C:\Program Files\dxdllreg_x86.cab
2005-09-29 15:51 2,245,840 ----a-w C:\Program Files\dsetup32.dll
2005-09-29 15:51 15,493,481 ----a-w C:\Program Files\DirectX.cab
2005-09-29 15:51 13,265,040 ----a-w C:\Program Files\dxnt.cab
2005-09-29 15:51 1,351,430 ----a-w C:\Program Files\Aug2005_d3dx9_27_x64.cab
2005-09-29 15:51 1,156,363 ----a-w C:\Program Files\BDANT.cab
2005-09-29 15:51 1,078,532 ----a-w C:\Program Files\Aug2005_d3dx9_27_x86.cab
.

((((((((((((((((((((((((((((( snapshot@2007-12-31_15.20.21.65 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 13:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2007-11-01 20:18:17 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-12-31 20:23:33 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-11-01 20:18:17 48,820 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-12-31 20:23:33 48,820 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-11-01 20:18:17 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-12-31 20:23:33 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-11-01 20:18:17 367,988 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-12-31 20:23:33 367,988 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 07:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 14:53 307200]
"fyyv433b"="" []
"0z5imhw697e"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fyyv433b"="" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe" [2006-05-03 01:56 36975]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2003-09-29 06:10 81990]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2003-09-10 02:11 135251]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-03 15:34 185632]
"a-squared"="C:\Program Files\a-squared Anti-Malware\a2guard.exe" [2007-12-28 15:33 1816208]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 04:25 6731312]
"wosa"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 07:00 13312]
"Symantec NetDriver Warning"="C:\PROGRA~1\SYMNET~1\SNDWarn.exe" [2004-10-29 08:52 218232]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
swcfygfd

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-05 02:33:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 22:26:58
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-04 22:39:25 - machine was rebooted
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-05 03:38:53
C:\qoobox\ComboFix2.txt 2008-01-01 17:34:06
C:\qoobox\ComboFix3.txt 2007-12-31 20:23:23


WOW,je sais pas ce que tu viens de me faire exécuter mais je pense bien que ca a fonctionné,j'ouvre IE et je n'ai plus de redirection de pages et AVG ne me signal plus de la présence du trojan a chaque fois que j'ouvre IE!On peut dire que tu est vraiment bolé en informatique,tu viens de me sauver beaucoup de tracas,j'en reviens pas!j'avais perdu espoir!Est-ce que je devrais relancer tous l'artillerie quand même(AVG,adaware,spybot,etc...)et y-a-t-il des des fonction à recocher?Merci encore!!!!!!!!
0
Réponse 15 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
5 janv. 2008 à 10:52
Bonjour,

je t'ai fait supprimé les fichiers responsables de l'infection et les clés de registre qui les protégeaient.

Remets un rapport Hijackthis et on va finir le nettoyage.
0
Réponse 16 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
5 janv. 2008 à 21:22
Bonjour,

voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:49, on 2008-01-05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GuiHook - Unknown owner - C:\PROGRA~1\NETSUP~1\guihook.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 17 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
5 janv. 2008 à 22:30
Bonsoir,

la seule chose qui reste à faire est de régulariser ta vaersion de Windows.

Il faut que tu saches que l'absence du SP2 te rends particulièrement vulnérable. le SP2 a comblé des failles de sécurité exploité par des malwares. Tu risques donc beaucoup plus d'être infecté que les autres.

Pour le reste, le post est résolu.
0
Réponse 18 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
6 janv. 2008 à 15:09
Merci beaucoup Lyonnais92!

Concernnant le trojan que j'avais choppé,seul AVG anti-spyware le détectait alors que j'ai seulement la version d'essai de 30 jours.Y-a-t-il un autre anti-spyware gratuit qui ferait pareil?Faut dire que j'ai déjà adaware,spybot et (a-squared qui est aussi en essai),comme tu dit j'aurai pas le choix de faire quelque chose avec mon windows,ce qui veut dire d'acheter une version légitime?

Juste pour être sure,les fenêtres que j'ai activé ou désactivé tout a long du nettoyage,ne faut-il pas les réactivé?

En tout cas,MERCI MILLE FOIS pour ta patience et ta précision dans ton intervention!!!!!
0
Réponse 19 / 23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
6 janv. 2008 à 23:32
Bonjour,

De rien pour l'aide.

A la fin de la période d'essai de AVG AS, tu vas perdre la protection résidente. Je crois que seul Spybot a une protection résidente gratuite (le tea timer).

Les fenêtres, c'est quoi ?

Par contre, tu supprimes combofix et tout ce qui va avec.
0
Réponse 20 / 23
b.y.o.b. Messages postés 25 Date d'inscription lundi 31 décembre 2007 Statut Membre Dernière intervention 3 avril 2011
7 janv. 2008 à 01:43
Bonsoir,

Je parlait des fenêtres du post 12.
0