trojan-downloader.win32.agent variant

Question

Bonjour,

mon lanceur de jeu "world of warcraft" detecte la presence du cheval de troie "trojan-downloader.win32.agent variant" dans mon pc. je ne c'est pa comment le suprimer merci de maider svp. je suis sous windows vista .

jlpjlp · Answer

slt,


scan avec 
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 


____________

colle un rapport hijackthis 
 

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."

psg95 · Answer

ok je fait cela et je colle le rapport ^^

psg95 · Answer

si malwarebytes ne trouve rien ?? comment je fait ??

psg95 · Answer

mon ordi rame le scan c'est bloquer ..

jlpjlp · Answer

tu me colle les rapports svp si rien dans malwarebyte's tu me colle quand meme le rapport et le rapport hijackhtis

psg95 · Answer

ok je les refait la puis je colle sa

psg95 · Answer

voici le rapport malwarebytes's 

Malwarebytes' Anti-Malware 1.22
Version de la base de données: 977
Windows 6.0.6000 

14:27:17 22/07/2008
mbam-log-7-22-2008 (14-27-17).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 117694
Temps écoulé: 1 hour(s), 13 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

psg95 · Answer

et celui de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:31:04, on 22/07/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32undll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Power Manager\PM.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\spfprc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [recinfo208] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [calc.exe] C:\Users\Rose marie\AppData\Local\Temp\calc.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\spftray.exe
O4 - HKLM\..\Run: [C:\Windows\system32\kdnfp.exe] C:\Windows\system32\kdnfp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE898787-6A9A-4D6A-A7FE-E1A680553E39}: NameServer = 202.123.2.6 202.123.2.11
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\spfprc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdfex.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

psg95 · Answer

alors ??

jlpjlp · Answer

désactive ton compte utilisateur puis

Télécharge Combofix de sUBs : aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos-f45/tutorial-combofix-t12­1.htm

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

psg · Answer

ok je fait sa

jamesR · Answer

doit-je renomer combofix ??

psg95 · Answer

voila le rapport

ComboFix 08-07-21.2 - Rose marie 2008-07-22 16:05:58.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2050 [GMT 2:00]
Endroit: C:\Users\Rose marie\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Possible sites infectés -----

http://images.metaservices.microsoft.com:80
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-22 to 2008-07-22 ))))))))))))))))))))))))))))))))))))
.

2008-07-21 17:50 . 2008-07-21 17:50 <REP> d-------- C:\Windows\BDOSCAN8
2008-07-21 17:35 . 2008-07-21 17:35 <REP> d-------- C:\Program Files\Panda Security
2008-07-21 17:35 . 2008-06-19 17:24 28,544 --a------ C:\Windows\System32\drivers\pavboot.sys
2008-07-21 16:03 . 2008-07-21 16:03 0 --a------ C:\spf.dat
2008-07-21 15:12 . 2008-07-21 22:37 <REP> d-------- C:\Program Files\a-squared Free
2008-07-20 18:26 . 2008-07-20 18:29 <REP> d-------- C:\Users\All Users\Lavasoft
2008-07-20 18:26 . 2008-07-20 18:29 <REP> d-------- C:\ProgramData\Lavasoft
2008-07-20 18:26 . 2008-07-20 18:26 <REP> d-------- C:\Program Files\Lavasoft
2008-07-20 18:25 . 2008-07-20 18:25 <REP> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-07-20 15:12 . 2008-07-21 21:23 <REP> d-------- C:\Program Files\Trend Micro
2008-07-20 14:40 . 2008-07-20 20:21 38,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-07-20 14:33 . 2008-07-20 14:33 <REP> d-------- C:\Users\Rose marie\AppData\Roaming\Malwarebytes
2008-07-20 14:33 . 2008-07-20 14:33 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-07-20 14:33 . 2008-07-20 14:33 <REP> d-------- C:\ProgramData\Malwarebytes
2008-07-20 14:33 . 2008-07-21 18:37 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-20 14:33 . 2008-07-20 20:21 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-07-18 09:02 . 2008-07-21 13:38 <REP> d-------- C:\scimoreDB
2008-07-18 08:45 . 2008-07-18 08:45 <REP> d-------- C:\Program Files\Common Files\Application
2008-07-18 08:38 . 2008-07-18 08:38 <REP> d-------- C:\Languages
2008-07-18 08:37 . 2008-07-21 20:36 <REP> d-------- C:\Signatures
2008-07-18 08:37 . 2008-07-20 14:15 <REP> d-------- C:\Quarantine
2008-07-18 08:37 . 2008-07-18 08:38 <REP> d-------- C:\Graphics
2008-07-18 02:51 . 2008-06-26 02:33 12,240,896 --a------ C:\Windows\System32\NlsLexicons0007.dll
2008-07-18 02:51 . 2008-06-26 05:22 9,845,248 --a------ C:\Windows\System32\NlsData000a.dll
2008-07-18 02:51 . 2008-06-26 05:22 4,874,240 --a------ C:\Windows\System32\NlsData0009.dll
2008-07-18 02:51 . 2008-06-26 05:22 2,655,232 --a------ C:\Windows\System32\NlsData0011.dll
2008-07-18 02:51 . 2008-06-26 02:33 2,644,480 --a------ C:\Windows\System32\NlsLexicons0009.dll
2008-07-18 02:51 . 2008-06-26 05:22 2,641,408 --a------ C:\Windows\System32\NlsData000c.dll
2008-07-18 02:51 . 2008-06-26 05:22 2,597,888 --a------ C:\Windows\System32\NlsData0001.dll
2008-07-18 02:51 . 2008-06-26 05:22 2,340,864 --a------ C:\Windows\System32\NlsData000d.dll
2008-07-18 02:51 . 2008-06-26 05:22 1,965,056 --a------ C:\Windows\System32\NlsData0027.dll
2008-07-18 02:51 . 2008-06-26 05:22 797,696 --a------ C:\Windows\System32\NaturalLanguage6.dll
2008-07-18 02:49 . 2008-06-26 02:33 11,722,752 --a------ C:\Windows\System32\NlsLexicons0001.dll
2008-07-18 02:20 . 2008-07-21 21:53 <REP> d-------- C:\fixwareout
2008-07-05 22:34 . 2008-07-11 11:05 <REP> d-------- C:\Program Files\Cossacks - The Art Of War
2008-07-05 22:34 . 2002-05-23 18:31 4,292,608 -ra------ C:\Windows\unasetup.exe
2008-07-05 22:34 . 2008-07-05 22:34 53,248 --a------ C:\Windows\System32\unrar.dll
2008-07-05 22:28 . 2008-07-05 22:28 565 --a------ C:\Windows\eReg.dat
2008-07-04 16:19 . 2008-07-04 16:19 <REP> d-------- C:\Users\Rose marie\AppData\Roaming\Template
2008-07-04 16:18 . 2008-07-04 16:18 0 --a------ C:\Users\Rose marie\AppData\Roaming\wklnhst.dat
2008-07-03 22:36 . 2008-07-03 22:36 <REP> d-------- C:\Westwood
2008-07-02 21:56 . 2008-07-02 21:56 <REP> dr------- C:\Windows\System32\config\systemprofile\Music
2008-07-02 20:27 . 2008-07-02 20:27 <REP> d-------- C:\Users\All Users\eMule
2008-07-02 20:27 . 2008-07-02 20:27 <REP> d-------- C:\ProgramData\eMule
2008-07-02 20:26 . 2008-07-02 20:27 <REP> d-------- C:\Program Files\eMule

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-22 14:07 --------- d-----w C:\ProgramData\Symantec
2008-07-20 10:16 27,810 ----a-w C:\Users\Rose marie\AppData\Roaming\nvModes.dat
2008-07-09 01:06 174 --sha-w C:\Program Files\desktop.ini
2008-07-09 01:01 --------- d-----w C:\Program Files\Windows Mail
2008-07-07 08:46 --------- d-----w C:\ProgramData\WLInstaller
2008-07-04 11:16 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-06-26 00:34 7,964,672 ----a-w C:\Windows\System32\NlsLexicons0024.dll
2008-06-26 00:33 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll
2008-06-22 08:08 --------- d-----w C:\Users\Rose marie\AppData\Roaming\HP
2008-05-27 06:52 --------- d-----w C:\ProgramData\HP
2008-05-26 20:23 --------- d-----w C:\ProgramData\WEBREG
2008-05-26 19:19 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-05-26 19:19 --------- d-----w C:\Program Files\HP
2008-05-26 19:18 --------- d-----w C:\Program Files\Common Files\HP
2008-05-26 19:13 --------- d-----w C:\Program Files\Hewlett-Packard
2008-05-26 19:13 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-05-26 19:09 --------- d-----w C:\ProgramData\Hewlett-Packard
2008-05-18 07:48 53,080 ----a-w C:\Windows\System32\wuauclt.exe
2008-05-18 07:48 43,352 ----a-w C:\Windows\System32\wups2.dll
2008-05-18 07:48 1,712,984 ----a-w C:\Windows\System32\wuaueng.dll
2008-05-18 07:48 1,524,224 ----a-w C:\Windows\System32\wucltux.dll
2008-05-18 03:12 944,184 ----a-w C:\Windows\System32\winload.exe
2008-05-18 03:12 7,168 ----a-w C:\Windows\System32\f3ahvoas.dll
2008-05-18 03:12 620,088 ----a-w C:\Windows\System32\ci.dll
2008-05-18 03:12 6,656 ----a-w C:\Windows\System32\kbd106n.dll
2008-05-18 03:12 40,960 ----a-w C:\Windows\System32\srclient.dll
2008-05-18 03:12 371,712 ----a-w C:\Windows\System32\srcore.dll
2008-05-18 03:12 313,856 ----a-w C:\Windows\System32\rstrui.exe
2008-05-18 03:12 19,000 ----a-w C:\Windows\System32\kd1394.dll
2008-05-18 03:12 16,384 ----a-w C:\Windows\System32\srdelayed.exe
2008-05-16 09:58 12,632 ----a-w C:\Windows\System32\lsdelete.exe
2008-05-14 16:13 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2008-05-14 16:12 296,448 ----a-w C:\Windows\System32\gdi32.dll
2008-05-14 16:10 83,968 ----a-w C:\Windows\System32\dnsrslvr.dll
2008-05-14 16:10 24,576 ----a-w C:\Windows\System32\dnscacheugc.exe
2008-05-12 13:15 80,896 ----a-w C:\Windows\System32\wudriver.dll
2008-05-12 13:15 549,720 ----a-w C:\Windows\System32\wuapi.dll
2008-05-12 13:15 33,624 ----a-w C:\Windows\System32\wups.dll
2008-05-12 13:14 31,232 ----a-w C:\Windows\System32\wuapp.exe
2008-05-12 13:14 163,000 ----a-w C:\Windows\System32\wuwebv.dll
2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll
2008-04-29 03:50 181,760 ----a-w C:\Windows\System32\fsquirt.exe
2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-04-23 05:11 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-04-23 04:27 428,032 ----a-w C:\Windows\System32\EncDec.dll
2008-04-23 04:27 292,352 ----a-w C:\Windows\System32\psisdecd.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2006-07-01 17:10 1232896]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 14:34 2159104 C:\Windows\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-07-19 01:31 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-07-19 01:31 8466432]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-07-19 01:31 81920]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2006-11-07 20:57 159744]
"PowerManager"="C:\Program Files\Power Manager\PM.exe" [2007-03-13 15:01 29696]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 20:46 153136]
"ccApp"="c:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2006-10-25 00:08 107112]
"osCheck"="c:\Program Files\Norton Internet Security\osCheck.exe" [2006-10-27 02:18 22696]
"recinfo208"="c:\RecInfo\RecInfo.exe" [2007-10-23 14:52 2764800]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"spywarefighterguard"="C:\spftray.exe" [2008-02-21 15:37 115344]
"C:\Windows\system32\kdnfp.exe"="C:\Windows\System32\kdnfp.exe" [2006-07-01 17:02 52224]
"RtHDVCpl"="RtHDVCpl.exe" [2007-01-18 14:46 4349952 C:\Windows\RtHDVCpl.exe]

C:\Users\Rose marie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 21:40:10 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\CYBERL~1\PowerDV\Kernel\Burner\MKDMP3Enc.ACM

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{ECA46310-CB64-4EB9-B225-F111241236D3}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{650E08D1-3757-4E8A-A113-934B7CC85C78}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{F2D2202C-C584-4718-B90C-68B6F2F7191D}"= C:\Program Files\CyberLink\PowerDV\PowerDV.exe:CyberLink PowerDV
"{B892966F-3F53-45C8-BCFE-F3426954E046}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 pavboot;pavboot;C:\Windows\system32\drivers\pavboot.sys [2008-06-19 17:24]
R1 IDSvix86;Symantec Intrusion Prevention Driver;C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20080716.002\IDSvix86.sys [2008-05-13 00:27]
R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 10:52]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\Windows\system32\DRIVERS\sis163u.sys [2007-05-07 13:48]
R3 smscirrx;SMSC CIR Receive;C:\Windows\system32\DRIVERS\smscirrx.sys [2007-02-02 09:51]
R3 SpyFighter;SpyFighter Guard Device;C:\spyfighter.sys [2008-02-21 15:38]
R3 SPYWAREfighterRP;SPYWAREfighterRP;C:\spfprc.exe [2008-02-21 15:37]
R3 SYMNDISV;SYMNDISV;C:\Windows\system32\Drivers\SYMNDISV.SYS [2006-10-24 15:40]
S2 Windows Tribute Service;Windows Tribute Service;C:\Windows\system32\kdfex.exe [2006-07-01 17:02]
S3 V0260VID;Live! Cam Vista IM;C:\Windows\system32\DRIVERS\V0260Vid.sys [2006-04-01 17:16]
S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 17:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-11 18:07:01 C:\Windows\Tasks\Norton Internet Security - Analyse système complète - Rose marie.job"
- c:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeB/TASK:
"2008-07-21 20:23:21 C:\Windows\Tasks\User_Feed_Synchronization-{D8F731EA-8BAA-4016-9AC9-B053A0AD805A}.job"
- C:\Windows\system32\msfeedssync.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-calc.exe - C:\Users\Rose marie\AppData\Local\Temp\calc.exe

.
------- Supplementary Scan -------
.
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{BE898787-6A9A-4D6A-A7FE-E1A680553E39}: NameServer = 202.123.2.6 202.123.2.11

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
C:\Windows\Downloaded Program Files\oscan8.inf
C:\Windows\Downloaded Program Files\oscan81.ocx_x
C:\Windows\bdoscandellang.ini
C:\Windows\bdoscandel.exe
C:\Windows\Downloaded Program Files\live.ini
C:\Windows\Downloaded Program Files\scanoptions.tsi
C:\Windows\Downloaded Program Files\lang.ini
C:\Windows\Downloaded Program Files\ipsupd.dll
C:\Windows\Downloaded Program Files\bdupd.dll
C:\Windows\Downloaded Program Files\libfn.dll
C:\Windows\Downloaded Program Files\bdcore.dll
C:\Windows\Downloaded Program Files\oscan8.ocx

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-22 16:11:27
Windows 6.0.6000 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

C:\Windows\system32\kdfex.exe 52224 bytes executable

Scan terminé avec succès
Les fichiers cachés: 1

**************************************************************************
.
Temps d'accomplissement: 2008-07-22 16:13:35
ComboFix-quarantined-files.txt 2008-07-22 14:13:28

Pre-Run: 101,244,243,968 octets libres
Post-Run: 101,349,036,032 octets libres

232 --- E O F --- 2008-07-18 01:04:55

psg95 · Answer

alors ?

jlpjlp · Answer

analyse ce fichier sur virus total et colle le rapport
https://www.virustotal.com/gui/

C:\Windows\system32\kdfex.exe

psg95 · Answer

j'arrive pa a le mettre sa me dit : 

kdfex
le  fichier est en cours d'utilisation
entrez un nouveau nom ou fermez le fichier qui a été ouvert par un autre programme

je fait quoi ?

jlpjlp · Answer

encore des soucis????




Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

psg95 · Answer

ok je ait sa et je poste le rapport

psg95 · Answer

je fait rechercher ?

psg95 · Answer

Search Navipromo version 3.6.1 commencé le 22/07/2008 à 18:33:22,28

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Rose marie" 

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16681 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\usersosema~1\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Rose marie\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\Rose marie\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier Navipromo trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Rose marie\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Rose marie\AppData\Local" *



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Rose marie\AppData\Local\Microsoft" :


* Dans "C:\Users\Rose marie\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 22/07/2008 à 18:35:09,87 ***

jlpjlp · Answer

analyse ces fichiers sur virus total et dis si inféctés:

c:\RecInfo\RecInfo.exe
C:\Users\Rose marie\AppData\Local\Temp\calc.exe
C:\spftray.exe 

________________


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html


Panda en ligne :
http://pandasoftware.fr

Trojan-downloader.win32.agent variant

21 réponses

Votre réponse

Discussions similaires

Newsletters