Win32:Trojan-gen. {Other} suite...

Résolu
K3RB3ROS Messages postés 66 Statut Membre -  
K3RB3ROS Messages postés 66 Statut Membre -
Bonjour,

je post un nouveau topic,
c'est la suite de ce topic la ----> http://www.commentcamarche.net/forum/affich 7520588 virus win32 trojan gen other

si quelqun peut m'aider
ca serait vraiment bien !

merci d'avance :)

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une suspicion de malware Windows (Win32 Trojan Gen ou équivalent) est discutée, l'utilisateur recherchant une aide pour identifier et nettoyer une infection et restaurer le fonctionnement du système. Plusieurs analyses antivirus et antimalware ont été évoquées, certaines ne détectant pas l'infection, ce qui conduit à des méthodes actives de nettoyage nécessitant des outils spécialisés. Des procédures concrètes ont été proposées, notamment l'exécution de ComboFix avec un script CFScript.txt et la sauvegarde des rapports HijackThis et ComboFix, afin d'analyser les éléments persistants et les entrées de démarrage. Des éléments additionnels issus des rapports mentionnent des fichiers et des entrées de démarrage potentiellement malveillants dans le registre et le dossier system32, nécessitant une vérification approfondie lors du nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. ludsfa Messages postés 1287 Statut Membre 15
     
    salut,

    sélectionne l'intégralité du texte en gras ci-dessous:



    file::
    C:\WINDOWS\system32\ylroxhk.dll
    C:\WINDOWS\system32\tmp.reg
    C:\WINDOWS\system32\dllcache\ieapfltr.dll
    C:\WINDOWS\system32\dllcache\iertutil.dll
    C:\WINDOWS\system32\dllcache\icardie.dll
    C:\WINDOWS\system32\dllcache\ieudinit.exe
    C:\WINDOWS\system32\dllcache\scrobj.dll
    C:\WINDOWS\system32\dllcache\scrrun.dll
    C:\WINDOWS\system32\ActiveSkin.ocx
    C:\UNWISE.EXE
    C:\WINDOWS\ActiveSkin.INI
    C:\WINDOWS\system32\dllcache\tcpip6.sys
    C:\WINDOWS\system32\dllcache\dnsapi.dll

    folder::
    C:\Documents and Settings\NetworkService\Application Data\vjaohzxm
    C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm
    C:\Documents and Settings\Administrateur\ModŠles
    C:\Program Files\RamBoost XP
    C:\Documents and Settings\NetworkService\Application Data\vjaohzxm

    registry::
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{957C849E-DA93-42F4-948B-E7E20208E0D6}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RamBoostXp"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winbf72.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wintx58.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winva71.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyd48.sys]
    @="Driver"

    driver::
    tcpip.sys
    afd.sys
    tcpip6.sys
    bthport.sys


    * Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    * Enregistre le sous sur ton bureau sous le nom de CFScript.txt
    * Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

    http://i266.photobucket.com/albums/ii277/sUBs_/CFScript.gif

    * Cela va relancer Combofix.

    à la fin du scan un rapport va être créer envois le moi.
    0
  2. elioth
     
    re kerberos,

    ta essayé ce que jté filé sur l'autre post? essaye toujours on sait jamais:

    http://www.downloads.subratam.org/VX2Finder.exe
    0
  3. elioth
     
    teste toujours mais pourquoi tu poste un new topic alors?
    0
    1. K3RB3ROS Messages postés 66 Statut Membre
       
      si tu avais lu un peu mieux mon premier topic tu ne poserais même pas la question. :)
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. ludsfa Messages postés 1287 Statut Membre 15
     
    re,

    ok alors j'édite le post ou pas?
    0
    1. K3RB3ROS Messages postés 66 Statut Membre
       
      bun je sais pas encore.

      si tout est ok je passerai moi même le post en résolu.
      0
  6. ludsfa Messages postés 1287 Statut Membre 15
     
    non je veux dire le script combofix que je t'est fait car il présente pas mal de trojan.
    0
    1. K3RB3ROS Messages postés 66 Statut Membre
       
      ha pardon !

      bun oui dans la mesure ou c'etait le premier rapport

      beaucoup d'entre eux ont été supprimé il me semble
      0
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut ludsfa,

    ton script ne va pas vraiment fonctionner comme ca, il y a quelques erreures...

    @+
    0
  8. ludsfa Messages postés 1287 Statut Membre 15
     
    salut,

    je pense que je vais l'éditer.

    apparemment il à réglé le problème.
    0
  9. g!rly Messages postés 18462 Statut Contributeur 407
     
    tu peux plus l éditer, demande avant de lancer des cripts comme ça si tu n´est pas sur ;)
    @+
    0
  10. ludsfa Messages postés 1287 Statut Membre 15
     
    re,

    le script fonctionne.
    0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    il y a des erreures, puis tu vires ramboost xp qui est legitime...
    0
  12. K3RB3ROS Messages postés 66 Statut Membre
     
    voila le rapport

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:51:15, on 02/08/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\spupdsvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Unlocker\UnlockerAssistant.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\sistray.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
    O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    End of file - 7530 bytes
    0
  13. elioth
     
    tu peux cocher ces lignes et c reglé:

    O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
    O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    0
  14. K3RB3ROS Messages postés 66 Statut Membre
     
    salut
    déjà fais plusieurs fois...
    elles restent . . . :/
    0
  15. elioth
     
    de tout facon le fichier est absent donc logiquement tu n'es plus infecté
    0
  16. K3RB3ROS Messages postés 66 Statut Membre
     
    okok
    aprés,le fait que les MAJ auto windows ne fonctionne plus (elles sont activés mais refuse de s'installer) a t'il un rapport avec mon infection ? :)
    0
  17. elioth
     
    ca depend si ta license est valide ou pas
    0
  18. elioth
     
    au pire tu peux toujours essayer ca:

    http://telechargement.zebulon.fr/zeb-restore.html
    0
  19. K3RB3ROS Messages postés 66 Statut Membre
     
    lool !!

    oui oui elle l'est :)
    0
  • 1
  • 2
  • 3