Trojan-downloader.win32.agent variant

psg95 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

mon lanceur de jeu "world of warcraft" detecte la presence du cheval de troie "trojan-downloader.win32.agent variant" dans mon pc. je ne c'est pa comment le suprimer merci de maider svp. je suis sous windows vista .
Configuration: Windows Vista
Internet Explorer 7.0

21 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    scan avec
    MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ____________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :
    http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    1
  2. psg95
     
    ok je fait cela et je colle le rapport ^^
    0
  3. psg95
     
    si malwarebytes ne trouve rien ?? comment je fait ??
    0
  4. psg95
     
    mon ordi rame le scan c'est bloquer ..
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu me colle les rapports svp si rien dans malwarebyte's tu me colle quand meme le rapport et le rapport hijackhtis
    0
  7. psg95
     
    voici le rapport malwarebytes's

    Malwarebytes' Anti-Malware 1.22
    Version de la base de données: 977
    Windows 6.0.6000

    14:27:17 22/07/2008
    mbam-log-7-22-2008 (14-27-17).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|)
    Eléments examinés: 117694
    Temps écoulé: 1 hour(s), 13 minute(s), 6 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  8. psg95
     
    et celui de hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:31:04, on 22/07/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16681)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\Power Manager\PM.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Windows\ehome\ehtray.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Apoint2K\ApMsgFwd.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\DRIVERS\xaudio.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\spfprc.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [recinfo208] c:\RecInfo\RecInfo.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [calc.exe] C:\Users\Rose marie\AppData\Local\Temp\calc.exe
    O4 - HKLM\..\Run: [spywarefighterguard] C:\spftray.exe
    O4 - HKLM\..\Run: [C:\Windows\system32\kdnfp.exe] C:\Windows\system32\kdnfp.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BE898787-6A9A-4D6A-A7FE-E1A680553E39}: NameServer = 202.123.2.6 202.123.2.11
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\spfprc.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
    O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdfex.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    désactive ton compte utilisateur puis

    Télécharge Combofix de sUBs : aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos-f45/tutorial-combofix-t12­1.htm

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    0
  10. psg95
     
    voila le rapport

    ComboFix 08-07-21.2 - Rose marie 2008-07-22 16:05:58.1 - NTFSx86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2050 [GMT 2:00]
    Endroit: C:\Users\Rose marie\Desktop\ComboFix.exe
    * Création d'un nouveau point de restauration
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
    C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat

    ----- BITS: Possible sites infectés -----

    http://images.metaservices.microsoft.com:80
    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-22 to 2008-07-22 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-21 17:50 . 2008-07-21 17:50 <REP> d-------- C:\Windows\BDOSCAN8
    2008-07-21 17:35 . 2008-07-21 17:35 <REP> d-------- C:\Program Files\Panda Security
    2008-07-21 17:35 . 2008-06-19 17:24 28,544 --a------ C:\Windows\System32\drivers\pavboot.sys
    2008-07-21 16:03 . 2008-07-21 16:03 0 --a------ C:\spf.dat
    2008-07-21 15:12 . 2008-07-21 22:37 <REP> d-------- C:\Program Files\a-squared Free
    2008-07-20 18:26 . 2008-07-20 18:29 <REP> d-------- C:\Users\All Users\Lavasoft
    2008-07-20 18:26 . 2008-07-20 18:29 <REP> d-------- C:\ProgramData\Lavasoft
    2008-07-20 18:26 . 2008-07-20 18:26 <REP> d-------- C:\Program Files\Lavasoft
    2008-07-20 18:25 . 2008-07-20 18:25 <REP> d-------- C:\Program Files\Common Files\Wise Installation Wizard
    2008-07-20 15:12 . 2008-07-21 21:23 <REP> d-------- C:\Program Files\Trend Micro
    2008-07-20 14:40 . 2008-07-20 20:21 38,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
    2008-07-20 14:33 . 2008-07-20 14:33 <REP> d-------- C:\Users\Rose marie\AppData\Roaming\Malwarebytes
    2008-07-20 14:33 . 2008-07-20 14:33 <REP> d-------- C:\Users\All Users\Malwarebytes
    2008-07-20 14:33 . 2008-07-20 14:33 <REP> d-------- C:\ProgramData\Malwarebytes
    2008-07-20 14:33 . 2008-07-21 18:37 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-07-20 14:33 . 2008-07-20 20:21 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
    2008-07-18 09:02 . 2008-07-21 13:38 <REP> d-------- C:\scimoreDB
    2008-07-18 08:45 . 2008-07-18 08:45 <REP> d-------- C:\Program Files\Common Files\Application
    2008-07-18 08:38 . 2008-07-18 08:38 <REP> d-------- C:\Languages
    2008-07-18 08:37 . 2008-07-21 20:36 <REP> d-------- C:\Signatures
    2008-07-18 08:37 . 2008-07-20 14:15 <REP> d-------- C:\Quarantine
    2008-07-18 08:37 . 2008-07-18 08:38 <REP> d-------- C:\Graphics
    2008-07-18 02:51 . 2008-06-26 02:33 12,240,896 --a------ C:\Windows\System32\NlsLexicons0007.dll
    2008-07-18 02:51 . 2008-06-26 05:22 9,845,248 --a------ C:\Windows\System32\NlsData000a.dll
    2008-07-18 02:51 . 2008-06-26 05:22 4,874,240 --a------ C:\Windows\System32\NlsData0009.dll
    2008-07-18 02:51 . 2008-06-26 05:22 2,655,232 --a------ C:\Windows\System32\NlsData0011.dll
    2008-07-18 02:51 . 2008-06-26 02:33 2,644,480 --a------ C:\Windows\System32\NlsLexicons0009.dll
    2008-07-18 02:51 . 2008-06-26 05:22 2,641,408 --a------ C:\Windows\System32\NlsData000c.dll
    2008-07-18 02:51 . 2008-06-26 05:22 2,597,888 --a------ C:\Windows\System32\NlsData0001.dll
    2008-07-18 02:51 . 2008-06-26 05:22 2,340,864 --a------ C:\Windows\System32\NlsData000d.dll
    2008-07-18 02:51 . 2008-06-26 05:22 1,965,056 --a------ C:\Windows\System32\NlsData0027.dll
    2008-07-18 02:51 . 2008-06-26 05:22 797,696 --a------ C:\Windows\System32\NaturalLanguage6.dll
    2008-07-18 02:49 . 2008-06-26 02:33 11,722,752 --a------ C:\Windows\System32\NlsLexicons0001.dll
    2008-07-18 02:20 . 2008-07-21 21:53 <REP> d-------- C:\fixwareout
    2008-07-05 22:34 . 2008-07-11 11:05 <REP> d-------- C:\Program Files\Cossacks - The Art Of War
    2008-07-05 22:34 . 2002-05-23 18:31 4,292,608 -ra------ C:\Windows\unasetup.exe
    2008-07-05 22:34 . 2008-07-05 22:34 53,248 --a------ C:\Windows\System32\unrar.dll
    2008-07-05 22:28 . 2008-07-05 22:28 565 --a------ C:\Windows\eReg.dat
    2008-07-04 16:19 . 2008-07-04 16:19 <REP> d-------- C:\Users\Rose marie\AppData\Roaming\Template
    2008-07-04 16:18 . 2008-07-04 16:18 0 --a------ C:\Users\Rose marie\AppData\Roaming\wklnhst.dat
    2008-07-03 22:36 . 2008-07-03 22:36 <REP> d-------- C:\Westwood
    2008-07-02 21:56 . 2008-07-02 21:56 <REP> dr------- C:\Windows\System32\config\systemprofile\Music
    2008-07-02 20:27 . 2008-07-02 20:27 <REP> d-------- C:\Users\All Users\eMule
    2008-07-02 20:27 . 2008-07-02 20:27 <REP> d-------- C:\ProgramData\eMule
    2008-07-02 20:26 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\eMule

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-22 14:07 --------- d-----w C:\ProgramData\Symantec
    2008-07-20 10:16 27,810 ----a-w C:\Users\Rose marie\AppData\Roaming\nvModes.dat
    2008-07-09 01:06 174 --sha-w C:\Program Files\desktop.ini
    2008-07-09 01:01 --------- d-----w C:\Program Files\Windows Mail
    2008-07-07 08:46 --------- d-----w C:\ProgramData\WLInstaller
    2008-07-04 11:16 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2008-06-26 00:34 7,964,672 ----a-w C:\Windows\System32\NlsLexicons0024.dll
    2008-06-26 00:33 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll
    2008-06-22 08:08 --------- d-----w C:\Users\Rose marie\AppData\Roaming\HP
    2008-05-27 06:52 --------- d-----w C:\ProgramData\HP
    2008-05-26 20:23 --------- d-----w C:\ProgramData\WEBREG
    2008-05-26 19:19 --------- d-----w C:\ProgramData\HPSSUPPLY
    2008-05-26 19:19 --------- d-----w C:\Program Files\HP
    2008-05-26 19:18 --------- d-----w C:\Program Files\Common Files\HP
    2008-05-26 19:13 --------- d-----w C:\Program Files\Hewlett-Packard
    2008-05-26 19:13 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
    2008-05-26 19:09 --------- d-----w C:\ProgramData\Hewlett-Packard
    2008-05-18 07:48 53,080 ----a-w C:\Windows\System32\wuauclt.exe
    2008-05-18 07:48 43,352 ----a-w C:\Windows\System32\wups2.dll
    2008-05-18 07:48 1,712,984 ----a-w C:\Windows\System32\wuaueng.dll
    2008-05-18 07:48 1,524,224 ----a-w C:\Windows\System32\wucltux.dll
    2008-05-18 03:12 944,184 ----a-w C:\Windows\System32\winload.exe
    2008-05-18 03:12 7,168 ----a-w C:\Windows\System32\f3ahvoas.dll
    2008-05-18 03:12 620,088 ----a-w C:\Windows\System32\ci.dll
    2008-05-18 03:12 6,656 ----a-w C:\Windows\System32\kbd106n.dll
    2008-05-18 03:12 40,960 ----a-w C:\Windows\System32\srclient.dll
    2008-05-18 03:12 371,712 ----a-w C:\Windows\System32\srcore.dll
    2008-05-18 03:12 313,856 ----a-w C:\Windows\System32\rstrui.exe
    2008-05-18 03:12 19,000 ----a-w C:\Windows\System32\kd1394.dll
    2008-05-18 03:12 16,384 ----a-w C:\Windows\System32\srdelayed.exe
    2008-05-16 09:58 12,632 ----a-w C:\Windows\System32\lsdelete.exe
    2008-05-14 16:13 2,027,008 ----a-w C:\Windows\System32\win32k.sys
    2008-05-14 16:12 296,448 ----a-w C:\Windows\System32\gdi32.dll
    2008-05-14 16:10 83,968 ----a-w C:\Windows\System32\dnsrslvr.dll
    2008-05-14 16:10 24,576 ----a-w C:\Windows\System32\dnscacheugc.exe
    2008-05-12 13:15 80,896 ----a-w C:\Windows\System32\wudriver.dll
    2008-05-12 13:15 549,720 ----a-w C:\Windows\System32\wuapi.dll
    2008-05-12 13:15 33,624 ----a-w C:\Windows\System32\wups.dll
    2008-05-12 13:14 31,232 ----a-w C:\Windows\System32\wuapp.exe
    2008-05-12 13:14 163,000 ----a-w C:\Windows\System32\wuwebv.dll
    2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll
    2008-04-29 03:50 181,760 ----a-w C:\Windows\System32\fsquirt.exe
    2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll
    2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll
    2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll
    2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
    2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
    2008-04-23 05:11 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
    2008-04-23 04:27 428,032 ----a-w C:\Windows\System32\EncDec.dll
    2008-04-23 04:27 292,352 ----a-w C:\Windows\System32\psisdecd.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2006-07-01 17:10 1232896]
    "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
    "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
    "WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 14:34 2159104 C:\Windows\System32\oobefldr.dll]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-07-19 01:31 86016]
    "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-07-19 01:31 8466432]
    "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-07-19 01:31 81920]
    "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2006-11-07 20:57 159744]
    "PowerManager"="C:\Program Files\Power Manager\PM.exe" [2007-03-13 15:01 29696]
    "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 20:46 153136]
    "ccApp"="c:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2006-10-25 00:08 107112]
    "osCheck"="c:\Program Files\Norton Internet Security\osCheck.exe" [2006-10-27 02:18 22696]
    "recinfo208"="c:\RecInfo\RecInfo.exe" [2007-10-23 14:52 2764800]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "spywarefighterguard"="C:\spftray.exe" [2008-02-21 15:37 115344]
    "C:\Windows\system32\kdnfp.exe"="C:\Windows\System32\kdnfp.exe" [2006-07-01 17:02 52224]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-01-18 14:46 4349952 C:\Windows\RtHDVCpl.exe]

    C:\Users\Rose marie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 21:40:10 210520]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.mkdmp3enc"= C:\PROGRA~1\CYBERL~1\PowerDV\Kernel\Burner\MKDMP3Enc.ACM

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UacDisableNotify"=dword:00000001
    "InternetSettingsDisableNotify"=dword:00000001
    "AutoUpdateDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
    "{ECA46310-CB64-4EB9-B225-F111241236D3}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
    "{650E08D1-3757-4E8A-A113-934B7CC85C78}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
    "{F2D2202C-C584-4718-B90C-68B6F2F7191D}"= C:\Program Files\CyberLink\PowerDV\PowerDV.exe:CyberLink PowerDV
    "{B892966F-3F53-45C8-BCFE-F3426954E046}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
    "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
    "EnableFirewall"= 0 (0x0)

    R0 pavboot;pavboot;C:\Windows\system32\drivers\pavboot.sys [2008-06-19 17:24]
    R1 IDSvix86;Symantec Intrusion Prevention Driver;C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20080716.002\IDSvix86.sys [2008-05-13 00:27]
    R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 10:52]
    R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\Windows\system32\DRIVERS\sis163u.sys [2007-05-07 13:48]
    R3 smscirrx;SMSC CIR Receive;C:\Windows\system32\DRIVERS\smscirrx.sys [2007-02-02 09:51]
    R3 SpyFighter;SpyFighter Guard Device;C:\spyfighter.sys [2008-02-21 15:38]
    R3 SPYWAREfighterRP;SPYWAREfighterRP;C:\spfprc.exe [2008-02-21 15:37]
    R3 SYMNDISV;SYMNDISV;C:\Windows\system32\Drivers\SYMNDISV.SYS [2006-10-24 15:40]
    S2 Windows Tribute Service;Windows Tribute Service;C:\Windows\system32\kdfex.exe [2006-07-01 17:02]
    S3 V0260VID;Live! Cam Vista IM;C:\Windows\system32\DRIVERS\V0260Vid.sys [2006-04-01 17:16]
    S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 17:37]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bthsvcs REG_MULTI_SZ BthServ
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

    *Newly Created Service* - CATCHME
    *Newly Created Service* - COMHOST
    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-07-11 18:07:01 C:\Windows\Tasks\Norton Internet Security - Analyse système complète - Rose marie.job"
    - c:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeB/TASK:
    "2008-07-21 20:23:21 C:\Windows\Tasks\User_Feed_Synchronization-{D8F731EA-8BAA-4016-9AC9-B053A0AD805A}.job"
    - C:\Windows\system32\msfeedssync.exe
    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-calc.exe - C:\Users\Rose marie\AppData\Local\Temp\calc.exe

    .
    ------- Supplementary Scan -------
    .
    O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O17 -: HKLM\CCS\Interface\{BE898787-6A9A-4D6A-A7FE-E1A680553E39}: NameServer = 202.123.2.6 202.123.2.11

    O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
    C:\Windows\Downloaded Program Files\oscan8.inf
    C:\Windows\Downloaded Program Files\oscan81.ocx_x
    C:\Windows\bdoscandellang.ini
    C:\Windows\bdoscandel.exe
    C:\Windows\Downloaded Program Files\live.ini
    C:\Windows\Downloaded Program Files\scanoptions.tsi
    C:\Windows\Downloaded Program Files\lang.ini
    C:\Windows\Downloaded Program Files\ipsupd.dll
    C:\Windows\Downloaded Program Files\bdupd.dll
    C:\Windows\Downloaded Program Files\libfn.dll
    C:\Windows\Downloaded Program Files\bdcore.dll
    C:\Windows\Downloaded Program Files\oscan8.ocx

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-22 16:11:27
    Windows 6.0.6000 NTFS

    detected NTDLL code modification:
    ZwQueryDirectoryFile

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    C:\Windows\system32\kdfex.exe 52224 bytes executable

    Scan terminé avec succès
    Les fichiers cachés: 1

    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-22 16:13:35
    ComboFix-quarantined-files.txt 2008-07-22 14:13:28

    Pre-Run: 101,244,243,968 octets libres
    Post-Run: 101,349,036,032 octets libres

    232 --- E O F --- 2008-07-18 01:04:55
    0
  11. psg95
     
    j'arrive pa a le mettre sa me dit :

    kdfex
    le fichier est en cours d'utilisation
    entrez un nouveau nom ou fermez le fichier qui a été ouvert par un autre programme

    je fait quoi ?
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    encore des soucis????

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    Télécharge maintenant Navilog1 depuis-ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

    en tant qu'administrateur".

    Au menu principal, Fais le choix 1
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche le blocnote va s'ouvrir.
    Copie-colle l'intégralité du rapport dans une réponse.
    Referme le blocnote
    Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
    0
  13. psg95
     
    Search Navipromo version 3.6.1 commencé le 22/07/2008 à 18:33:22,28

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "Rose marie"

    Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows Vista 6.0.6000
    Internet Explorer : 7.0.6000.16681
    Système de fichiers : NTFS

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "c:\users\rosema~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "C:\Users\Rose marie\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\Rose marie\AppData\Roaming" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier Navipromo trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\Rose marie\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\Rose marie\AppData\Local" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\Rose marie\AppData\Local\Microsoft" :

    * Dans "C:\Users\Rose marie\AppData\Local" :

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 22/07/2008 à 18:35:09,87 ***
    0
  • 1
  • 2