NoD32 alert kb713501.exe probleme

Résolu/Fermé
Hermos Messages postés 55 Date d'inscription lundi 24 mars 2008 Statut Membre Dernière intervention 6 mai 2012 - 28 mai 2008 à 22:52
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 - 31 mai 2008 à 06:41
Bonjour,
Ca fait plusieurs jours que mon anti-virus lance des alarm contenent le fichier kb713501.exe , par fois quand je surf sur le net y'a une pop-up qui me propose de telecharger ce fichier meme , je ne sais pas comment s'en débarasser j'ai scané avec xoftspy mais il n'a pas reussi a reparer le probleme , j'ai fait un full scan et tjr rien je ne sais pas l'empleur de ce virus j'ai suprimé tout les cookies et fichier tomporaire de mes navigateur avec CCleaner et manuelement mais le probleme perciste tjr
svp quelqu'un conais la solution pour se debarassé de ce virus ?
A voir également:

8 réponses

Nagathael Messages postés 2719 Date d'inscription samedi 2 février 2008 Statut Membre Dernière intervention 6 décembre 2013 258
28 mai 2008 à 22:55
ben a partir du moment ou nod te trouves le virus il t'indique le chemin a suivre pr le trouver.
Donc tu utilise "unlocker (dl sur clubic.com) et tu le delete en manuel
0
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
28 mai 2008 à 23:01
Salut,

Tu as bien NOD 32 comme antivirus, envoie dès lors le rapport d'analyse ici, ce sera peut-être plus facile.

Envoie en plus un rapport Hijackthis, dont voici le tutorial et la manière de l'installer .

Où le télécharger ?
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Le dézipper dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < c : ! (Cela permet des back-up en cas de mauvaises suppressions)
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

L’exécuter puis sur "Do a system scan and save a logfile" (cf. démo)
faire un copier-coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Ciao

Zor
0
Hermos Messages postés 55 Date d'inscription lundi 24 mars 2008 Statut Membre Dernière intervention 6 mai 2012 4
29 mai 2008 à 03:22
non c'est que le chemin que nod32 me fait voir c'est une adresse web pas un chemin sur pc enfin je ne suis pas très sur mais de tt façon ca commence par une adresse IP ça ressemble plutôt a ça
ATTENTION NE PAS CLICKE SUR LE LIEN
http://62.4.83.200/kb713501.exe?&uid=29C7F23C28EC11DD9367154608CFFFF

voila le rapport de hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:21:33, on 29/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATKKBService.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\AudioStreamer Pro\AudioStreamer pro.exe
C:\Documents and Settings\Byakugan\Mes documents\MultiWin\MultiWin.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Safari\Safari.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 89.149.200.219 l2authd.lineage2.com
O1 - Hosts: 89.149.200.219 l2testauthd.lineage2.com
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [20805a46] rundll32.exe "C:\WINDOWS\system32\oqnlvmwe.dll",b
O4 - HKLM\..\Run: [BM23b369da] Rundll32.exe "C:\WINDOWS\system32\tfnrcioe.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8004726C-A663-40BD-9CE2-918841AC7F1C}: NameServer = 196.217.246.211 212.217.0.13
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
0
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
29 mai 2008 à 06:01
Et le rapport NOD32, STP???
0
Hermos Messages postés 55 Date d'inscription lundi 24 mars 2008 Statut Membre Dernière intervention 6 mai 2012 4
29 mai 2008 à 14:30
je crois que c'est celui la le raport de nod32
Date et heure Module Objet Nom Menace Action Utilisateur Info
29/05/2008 01:23:05 IMON fichier http://62.4.83.200/kb713501.exe?&uid=29C7F23C28EC11DD9367154608CFFFF Win32/PrivacySet.B cheval de Troie connexion terminée PORSCHE-A7424EF\Byakugan
si c'est pas ca alors svp dit moi comment l'avoir
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Hermos Messages postés 55 Date d'inscription lundi 24 mars 2008 Statut Membre Dernière intervention 6 mai 2012 4
30 mai 2008 à 20:10
quelqu'un peut m'aider svp ?
0
zorinho Messages postés 821 Date d'inscription mercredi 28 novembre 2007 Statut Membre Dernière intervention 29 novembre 2020 51
31 mai 2008 à 01:15
Salut Hermos,

1) j'avais demandé le rapport complet du scan avec NOD32, pas simplement le nom du trojan. refais l'analyse au besoin.

2) Installe Hijackthis https://www.malekal.com/tutoriel-hijackthis/

3) Je te conseille de faire un scan en mode sans échec avec Malwarebytes
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

Colle le rapport.

A plus

Zor
0
dorgane Messages postés 17998 Date d'inscription dimanche 29 octobre 2006 Statut Contributeur Dernière intervention 7 juin 2020 3 308
31 mai 2008 à 06:16
salut

fix :

O4 - HKLM\..\Run: [20805a46] rundll32.exe "C:\WINDOWS\system32\oqnlvmwe.dll",b
O4 - HKLM\..\Run: [BM23b369da] Rundll32.exe "C:\WINDOWS\system32\tfnrcioe.dll",s


puis

Télécharge
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
sur ton Bureau et lance le.

Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée.

Copie et colle les ligne ci-dessous dans l'encadré bleue de OTMoveIt nommé Paste Standard List of Files/Folders to move.

C:\WINDOWS\system32\oqnlvmwe.dll
C:\WINDOWS\system32\tfnrcioe.dll

Clique sur MoveIt! pour lancer la suppression.
Si OTMoveIt propose de redémarrer ton PC, accepte !
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles


et enfin

met à jour Nod32 en version 3 :
https://www.eset.com/
0
Le sioux Messages postés 4894 Date d'inscription dimanche 27 mai 2007 Statut Contributeur sécurité Dernière intervention 6 mars 2023 495
31 mai 2008 à 06:41
Bonjour tout le monde

O4 - HKLM\..\Run: [20805a46] rundll32.exe "C:\WINDOWS\system32\oqnlvmwe.dll",b
O4 - HKLM\..\Run: [BM23b369da] Rundll32.exe "C:\WINDOWS\system32\tfnrcioe.dll

associé a l'abscence de O2 O20 --> Adware Vundo

MalwareByte's Anti-Malware devrait arriver a faire un peu de ménage, mais n'y arrivera peut être pas tout seul...
OTMoveIt et HijackThis ne suffiront pas.

Je mets ce ptit mot pour suivre ;)

Salut.
0