Win32:Trojan-gen. {Other} suite...
RésoluK3RB3ROS Messages postés 66 Statut Membre -
je post un nouveau topic,
c'est la suite de ce topic la ----> http://www.commentcamarche.net/forum/affich 7520588 virus win32 trojan gen other
si quelqun peut m'aider
ca serait vraiment bien !
merci d'avance :)
55 réponses
- 1
- 2
- 3
Une suspicion de malware Windows (Win32 Trojan Gen ou équivalent) est discutée, l'utilisateur recherchant une aide pour identifier et nettoyer une infection et restaurer le fonctionnement du système. Plusieurs analyses antivirus et antimalware ont été évoquées, certaines ne détectant pas l'infection, ce qui conduit à des méthodes actives de nettoyage nécessitant des outils spécialisés. Des procédures concrètes ont été proposées, notamment l'exécution de ComboFix avec un script CFScript.txt et la sauvegarde des rapports HijackThis et ComboFix, afin d'analyser les éléments persistants et les entrées de démarrage. Des éléments additionnels issus des rapports mentionnent des fichiers et des entrées de démarrage potentiellement malveillants dans le registre et le dossier system32, nécessitant une vérification approfondie lors du nettoyage.
-
salut,
sélectionne l'intégralité du texte en gras ci-dessous:
file::
C:\WINDOWS\system32\ylroxhk.dll
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\dllcache\ieapfltr.dll
C:\WINDOWS\system32\dllcache\iertutil.dll
C:\WINDOWS\system32\dllcache\icardie.dll
C:\WINDOWS\system32\dllcache\ieudinit.exe
C:\WINDOWS\system32\dllcache\scrobj.dll
C:\WINDOWS\system32\dllcache\scrrun.dll
C:\WINDOWS\system32\ActiveSkin.ocx
C:\UNWISE.EXE
C:\WINDOWS\ActiveSkin.INI
C:\WINDOWS\system32\dllcache\tcpip6.sys
C:\WINDOWS\system32\dllcache\dnsapi.dll
folder::
C:\Documents and Settings\NetworkService\Application Data\vjaohzxm
C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm
C:\Documents and Settings\Administrateur\ModŠles
C:\Program Files\RamBoost XP
C:\Documents and Settings\NetworkService\Application Data\vjaohzxm
registry::
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{957C849E-DA93-42F4-948B-E7E20208E0D6}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RamBoostXp"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winbf72.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wintx58.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winva71.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyd48.sys]
@="Driver"
driver::
tcpip.sys
afd.sys
tcpip6.sys
bthport.sys
* Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
* Enregistre le sous sur ton bureau sous le nom de CFScript.txt
* Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :
http://i266.photobucket.com/albums/ii277/sUBs_/CFScript.gif
* Cela va relancer Combofix.
à la fin du scan un rapport va être créer envois le moi. -
re kerberos,
ta essayé ce que jté filé sur l'autre post? essaye toujours on sait jamais:
http://www.downloads.subratam.org/VX2Finder.exe -
salut
apparement on a reglé le probleme avec destrio5
allez voir ce post si vous voulez
http://www.commentcamarche.net/forum/affich 7520588 virus win32 trojan gen other?page=3#47 -
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
au passage si tu veux analyser toi meme tes hijackthis:
https://www.zebulon.fr/telechargements/securite/systeme/zeb-help-process.html -
-
non je veux dire le script combofix que je t'est fait car il présente pas mal de trojan.
-
Salut ludsfa,
ton script ne va pas vraiment fonctionner comme ca, il y a quelques erreures...
@+ -
salut,
je pense que je vais l'éditer.
apparemment il à réglé le problème. -
tu peux plus l éditer, demande avant de lancer des cripts comme ça si tu n´est pas sur ;)
@+ -
-
il y a des erreures, puis tu vires ramboost xp qui est legitime...
-
voila le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:15, on 02/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
End of file - 7530 bytes -
tu peux cocher ces lignes et c reglé:
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe -
-
-
okok
aprés,le fait que les MAJ auto windows ne fonctionne plus (elles sont activés mais refuse de s'installer) a t'il un rapport avec mon infection ? :) -
-
-
- 1
- 2
- 3