Sujet Précédent Sujet Suivant

Trojan downloader.small.IAW

Résolu
zangdar37 Messages postés 12 Statut Membre -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
j'ai un gros probleme avec un trojan "win32/downloader.small.IAW"
à chaque fois que je démarre nod32 le detecte,, il le met en quarantaine et ensuite tout se passe bien mais à chaque fois que je démarre/redémarre mon ordinateur nod32 me met le rapport d'erreur

Date et heure Module Objet Nom Menace Action Utilisateur Info
10/04/2008 00:24:02 IMON archive http://patch.exaserve.net/update.zip Win32/TrojanDownloader.Small.IAW cheval de Troie connexion terminée AUTORITE NT\SYSTEM

voila ce qu'il y a dans le rapport d'erreur
aider moi svp
A voir également:

15 réponses

Réponse 1 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
salut,

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

Tuto :

https://www.malekal.com/supprimer-virus-desinfecter-pc/

@+
1
zangdar37
 
j'ai fait ce que tu ma dis, et MSNfix a trouvé des erreur les a corrigé mais j'ai toujours trojan downloader.small.IAW qui se met au démarage!! je sais pas quoi fair
si tu as autre chose di moi
je te met le rapport de msnfix :
MSNFix 1.701

C:\Documents and Settings\thomas\Bureau\MSNFix
Fix exécuté le 10/04/2008 - 11:36:30,57 By thomas
mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\Tasks\At1.job
... C:\WINDOWS\Tasks\At2.job

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\WINDOWS\Tasks\At1.job
.. OK ... C:\WINDOWS\Tasks\At2.job



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 10042008_11394993.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0
Réponse 2 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

post un rapport hijack this stp

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

@+
1
Réponse 3 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
re,

fais anlyser ceci :

C:\Documents and Settings\thomas\Application Data\wunauclt.exe

sur ce site :

http://virusscan.jotti.org/de/

post le resultat stp

@+
1
Réponse 4 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

passe ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

+ un nouveau rapport hijack this stp

@+
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

Copie le texte ci-dessous :

File::
C:\Documents and Settings\thomas\Application Data\wunauclt.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvsrp]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2dcd2c84-3640-4601-8ad3-e716eee48e77}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wupdate"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports

@+
1
Réponse 6 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

Copie le texte ci-dessous :

File::
C:\Documents and Settings\thomas\Application Data\wunauclt.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvsrp]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2dcd2c84-3640-4601-8ad3-e716eee48e77}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wupdate"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports

@+
1
zangdar37 Messages postés 12 Statut Membre
 
ComboFix 08-04-09.8 - thomas 2008-04-10 17:53:29.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.637 [GMT 2:00]
Endroit: C:\Documents and Settings\thomas\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\thomas\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active


[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-10 to 2008-04-10 ))))))))))))))))))))))))))))))))))))
.

2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-10 00:18 . 2008-04-10 00:22 <REP> d-------- C:\Program Files\CleanUp!
2008-04-10 00:15 . 2008-04-10 00:15 <REP> d-------- C:\VundoFix Backups
2008-04-09 22:56 . 2008-04-10 00:09 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-04-09 19:53 . 2008-04-09 19:55 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Program Files\AVG
2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-04-09 19:53 . 2008-04-09 19:53 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-04-09 19:53 . 2008-04-09 19:53 75,272 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-04-09 19:53 . 2008-04-09 19:53 12,424 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-04-09 19:53 . 2008-04-09 19:53 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-04-09 19:12 . 2008-04-09 19:12 <REP> d-------- C:\Program Files\CCleaner
2008-04-09 18:47 . 2008-04-09 18:47 267,776 --a------ C:\WINDOWS\system32\awvtq.Vdll
2008-04-07 22:37 . 2008-04-10 17:47 37,028 --a------ C:\Program Files\update.zip
2008-04-07 21:52 . 2007-02-09 19:34 420,816 --a------ C:\Documents and Settings\thomas\Application Data\wunauclt.exe
2008-04-07 21:52 . 2008-03-15 16:57 199,445 --a------ C:\Documents and Settings\thomas\Application Data\toolbar.dll
2008-04-07 21:52 . 2008-03-15 14:24 82,937 --a------ C:\Documents and Settings\thomas\Application Data\space1.exe
2008-04-06 20:52 . 2008-04-07 22:41 <REP> d-------- C:\Program Files\DivX
2008-03-29 20:20 . 2008-04-10 00:12 <REP> d-------- C:\Documents and Settings\thomas\Application Data\skypePM
2008-03-29 20:20 . 2008-03-29 20:20 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-03-29 20:15 . 2008-04-10 09:56 <REP> d-------- C:\Documents and Settings\thomas\Application Data\Skype
2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Program Files\Skype
2008-03-29 20:14 . 2008-03-29 20:14 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-03-15 16:04 . 2008-03-15 16:22 <REP> d-------- C:\Program Files\ZIP PASSWORD FINDER
2008-03-15 16:04 . 2000-05-16 11:40 83,968 --a------ C:\WINDOWS\UnGins.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 22:22 --------- d-----w C:\Program Files\SnIco Edit
2008-04-09 22:21 --------- d-----w C:\Program Files\emule0.48a-Xtreme6.0
2008-04-09 22:19 --------- d-----w C:\Documents and Settings\thomas\Application Data\Azureus
2008-04-09 22:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-07 20:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-04-07 19:54 --------- d-----w C:\Program Files\THQ
2008-04-07 19:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 23:22 --------- d-----w C:\Program Files\Valve
2008-03-30 16:45 --------- d-----w C:\Documents and Settings\thomas\Application Data\Image Zone Express
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-09 09:29 --------- d-----w C:\Program Files\Java
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-27 18:24 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-17 11:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\POP3Profiles
2008-02-17 11:23 --------- d-----w C:\Program Files\Ubisoft
2008-02-13 19:02 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-13 18:49 --------- d-----w C:\Program Files\LucasArts
2008-02-10 11:32 --------- d-----w C:\Program Files\Electronic Arts
.

((((((((((((((((((((((((((((( snapshot@2008-04-10_12.34.32.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-10 10:27:31 53,248 ----a-w C:\WINDOWS\PSEXESVC.EXE
+ 2008-04-10 15:56:24 53,248 ----a-w C:\WINDOWS\PSEXESVC.EXE
+ 2008-04-05 20:56:22 19,836,024 ----a-w C:\WINDOWS\system32\MRT.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 09:07 827392]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-04-09 19:53 1177368]
"Cmaudio"="cmicnfg.cpl" []
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-09-22 22:18 949376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-06 19:21 21898024 C:\Program Files\Skype\Phone\Skype.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\emule0.48a-Xtreme6.0\\emule.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Program Files\\emule0.48a-Xtreme6.1\\emule0.48a-Xtreme6.1\\emule.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\NAMCO BANDAI Games\\Warhammer Mark of Chaos\\WARHAMME.EXE"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Documents and Settings\\All Users\\Documents\\Warcraft III\\WARCRAFT\\war3.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Documents and Settings\\thomas\\Bureau\\game\\Warcraft III\\Frozen Throne.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Documents and Settings\\thomas\\Bureau\\emule0.48a-Xtreme6.1\\emule.exe"=
"C:\\Program Files\\Valve\\hl.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:war III

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-04-09 19:53]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-04-09 19:53]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-04-09 19:53]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-04-09 19:53]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5aaf207e-af29-11dc-8f68-005070345849}]
\Shell\AutoRun\command - L:\logo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9733ee9-4321-11dc-8eee-005070345849}]
\Shell\AutoRun\command - F:\launcher.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-07 19:52:41 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\thomas\Application Data\wunauclt.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-10 17:56:31
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
Temps d'accomplissement: 2008-04-10 17:58:06
ComboFix-quarantined-files.txt 2008-04-10 15:57:09
ComboFix2.txt 2008-04-10 10:34:55
Pre-Run: 21,325,058,048 octets libres
Post-Run: 21,314,744,320 octets libres
.
2008-04-10 12:50:12 --- E O F ---
0
Réponse 7 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

fais ceci :

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous:

@ echo off

if exist \G!RLY.TXT del \G!RLY.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
notepad \G!RLY.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape G!RLY.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier G!RLY.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport.

puis passe cet antispyware :

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

@+
1
LunaLux Messages postés 15 Statut Membre
 
Bonsoir

Peux tu m'aider également, j'ai le même souci, un trojan.
Après avoir, fait avast, cc cleaner, en mode sans echec etc, il me le vire pas.
J'ai lu sur les forums que je pouvais installer hijackthis, chose faîte g le rapport, peux tu m'aider à le déchiffer et me dire éventuellement ce que je dois cocher.

Merci beaucoup par avance.
0
Réponse 8 / 15
zangdar37 Messages postés 12 Statut Membre
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:10, on 10/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AVG\AVG8\avgscanx.exe
C:\Documents and Settings\thomas\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/fr/ý
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA} - (no file)
O2 - BHO: {77e84eee-617e-3da8-1064-046348c2dcd2} - {2dcd2c84-3640-4601-8ad3-e716eee48e77} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {B3740027-0036-49BF-98E7-04F4F903D67B} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [wupdate] C:\Documents and Settings\thomas\Application Data\wunauclt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: tuvvsrp - tuvvsrp.dll (file missing)
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 9 / 15
zangdar37 Messages postés 12 Statut Membre
 
Status:
VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme:
-
Bit9 rapportiert: High threat detected (more info)

A-Squared
Keine Viren gefunden
AntiVir
TR/Drop.Agent.JK gefunden
ArcaVir
Keine Viren gefunden
Avast
Win32:Trojan-gen {VC} gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
W32/Dloader.WAM!tr gefunden
Ikarus
Virus.Win32.Trojan gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
0
Réponse 10 / 15
zangdar37 Messages postés 12 Statut Membre
 
ComboFix 08-04-09.8 - thomas 2008-04-10 12:23:45.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.573 [GMT 2:00]
Endroit: C:\Documents and Settings\thomas\Bureau\ComboFix.exe
* Resident AV is active

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMf759209c.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\jnjhihvh.ini
C:\WINDOWS\system32\qtvwa.ini
C:\WINDOWS\system32\qtvwa.ini2
C:\WINDOWS\system32\rqyxofjx.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-10 to 2008-04-10 ))))))))))))))))))))))))))))))))))))
.

2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-10 00:18 . 2008-04-10 00:22 <REP> d-------- C:\Program Files\CleanUp!
2008-04-10 00:15 . 2008-04-10 00:15 <REP> d-------- C:\VundoFix Backups
2008-04-09 22:56 . 2008-04-10 00:09 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-04-09 19:53 . 2008-04-09 19:55 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Program Files\AVG
2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-04-09 19:53 . 2008-04-09 19:53 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-04-09 19:53 . 2008-04-09 19:53 75,272 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-04-09 19:53 . 2008-04-09 19:53 12,424 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-04-09 19:53 . 2008-04-09 19:53 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-04-09 19:12 . 2008-04-09 19:12 <REP> d-------- C:\Program Files\CCleaner
2008-04-09 18:47 . 2008-04-09 18:47 267,776 --a------ C:\WINDOWS\system32\awvtq.Vdll
2008-04-07 22:37 . 2008-04-10 11:45 11,172 --a------ C:\Program Files\update.zip
2008-04-07 21:52 . 2007-02-09 19:34 420,816 --a------ C:\Documents and Settings\thomas\Application Data\wunauclt.exe
2008-04-07 21:52 . 2008-03-15 16:57 199,445 --a------ C:\Documents and Settings\thomas\Application Data\toolbar.dll
2008-04-07 21:52 . 2008-03-15 14:24 82,937 --a------ C:\Documents and Settings\thomas\Application Data\space1.exe
2008-04-06 20:52 . 2008-04-07 22:41 <REP> d-------- C:\Program Files\DivX
2008-03-29 20:20 . 2008-04-10 00:12 <REP> d-------- C:\Documents and Settings\thomas\Application Data\skypePM
2008-03-29 20:20 . 2008-03-29 20:20 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-03-29 20:15 . 2008-04-10 09:56 <REP> d-------- C:\Documents and Settings\thomas\Application Data\Skype
2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Program Files\Skype
2008-03-29 20:14 . 2008-03-29 20:14 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
2008-03-15 16:04 . 2008-03-15 16:22 <REP> d-------- C:\Program Files\ZIP PASSWORD FINDER
2008-03-15 16:04 . 2000-05-16 11:40 83,968 --a------ C:\WINDOWS\UnGins.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 22:22 --------- d-----w C:\Program Files\SnIco Edit
2008-04-09 22:21 --------- d-----w C:\Program Files\emule0.48a-Xtreme6.0
2008-04-09 22:19 --------- d-----w C:\Documents and Settings\thomas\Application Data\Azureus
2008-04-09 22:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-07 19:54 --------- d-----w C:\Program Files\THQ
2008-04-07 19:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 23:22 --------- d-----w C:\Program Files\Valve
2008-03-30 16:45 --------- d-----w C:\Documents and Settings\thomas\Application Data\Image Zone Express
2008-03-09 09:29 --------- d-----w C:\Program Files\Java
2008-02-27 18:24 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-17 11:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\POP3Profiles
2008-02-17 11:23 --------- d-----w C:\Program Files\Ubisoft
2008-02-13 18:49 --------- d-----w C:\Program Files\LucasArts
2008-02-10 11:32 --------- d-----w C:\Program Files\Electronic Arts
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2dcd2c84-3640-4601-8ad3-e716eee48e77}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"wupdate"="C:\Documents and Settings\thomas\Application Data\wunauclt.exe" [2007-02-09 19:34 420816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 09:07 827392]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-04-09 19:53 1177368]
"Cmaudio"="cmicnfg.cpl" []
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-09-22 22:18 949376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvsrp]
tuvvsrp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-06 19:21 21898024 C:\Program Files\Skype\Phone\Skype.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\emule0.48a-Xtreme6.0\\emule.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
"C:\\Program Files\\emule0.48a-Xtreme6.1\\emule0.48a-Xtreme6.1\\emule.exe"=
"C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\NAMCO BANDAI Games\\Warhammer Mark of Chaos\\WARHAMME.EXE"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Documents and Settings\\All Users\\Documents\\Warcraft III\\WARCRAFT\\war3.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\Documents and Settings\\thomas\\Bureau\\game\\Warcraft III\\Frozen Throne.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Documents and Settings\\thomas\\Bureau\\emule0.48a-Xtreme6.1\\emule.exe"=
"C:\\Program Files\\Valve\\hl.exe"=
"C:\\Program Files\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:war III

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-04-09 19:53]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-04-09 19:53]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-04-09 19:53]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-04-09 19:53]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5aaf207e-af29-11dc-8f68-005070345849}]
\Shell\AutoRun\command - L:\logo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9733ee9-4321-11dc-8eee-005070345849}]
\Shell\AutoRun\command - F:\launcher.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-07 19:52:41 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\thomas\Application Data\wunauclt.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-10 12:30:05
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ESET\nod32krn.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-10 12:34:54 - machine was rebooted [thomas]
ComboFix-quarantined-files.txt 2008-04-10 10:34:47
Pre-Run: 21,485,715,456 octets libres
Post-Run: 21,409,169,408 octets libres
.
2008-04-10 01:01:48 --- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:38:57, on 10/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\thomas\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/fr/ý
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA} - (no file)
O2 - BHO: {77e84eee-617e-3da8-1064-046348c2dcd2} - {2dcd2c84-3640-4601-8ad3-e716eee48e77} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [wupdate] C:\Documents and Settings\thomas\Application Data\wunauclt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: tuvvsrp - tuvvsrp.dll (file missing)
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 11 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
re,

pour une raison ou une autre mon message ne c´est pas affiché...

je repost la suite du script dans 5 minutes

@+
0
Réponse 12 / 15
zangdar37 Messages postés 12 Statut Membre
 
C:\autorun.inf Non trouvé
C:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
snpstd3 REG_SZ C:\WINDOWS\vsnpstd3.exe
HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
AVG8_TRAY REG_SZ C:\PROGRA~1\AVG\AVG8\avgtray.exe
Cmaudio REG_SZ RunDll32 cmicnfg.cpl,CMICtrlWnd
nod32kui REG_SZ "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
0
Réponse 13 / 15
zangdar37 Messages postés 12 Statut Membre
 
bon je suis en train de fair le scan avec malwarebyte's antimalware
mais déja avec c que tu m'a fait faire nod32 n'affiche plus le "virus détecté" au démarage"
merci beaucoup
0
Réponse 14 / 15
zangdar37 Messages postés 12 Statut Membre
 
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 606

Type de recherche: Examen complet (C:\|)
Eléments examinés: 86784
Temps écoulé: 41 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 15 / 15
g!rly Messages postés 18462 Statut Contributeur 406
 
j´arrete
merci de trouver un autre helper
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses