Sujet Précédent Sujet Suivant

Joli duo: TR.Agent.BHQ+Hijacker.StartPage.aop

Résolu/Fermé
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008 - 25 août 2008 à 14:46
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 - 29 août 2008 à 13:45
Bonjour,

J'ai sur ma becanne AVG Anti-Spy et Antivir, tous les 2 mis a jour quotidiennement.Malgre toutes mes precautions, je me suis fait avoir par 2 virus recurents:

+AVG me detecte "HiJacker.StartPage.aop"
+Antivir me detecte "TR.Agent.BHQ" et je fait l'action "Deny Acces"

Ne trouvant pas vraiment d'info sur ces 2 "virus" (surtout sur le TR Agent), je me tourne donc vers vous pour resoudre ce probleme, car il persiste.
Je vous joint le rapport HiJack.
En vous remerciant d'avance, merci a vous pour votre temps passé sur cet excellent site.

-->A noter que un des deux virus est trouve sur un autre disque que le C:, et est apparement situe dans un repertoire appeler "volume information"

Nico.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:30:50, on 25/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
Z:\Logiciels\Securite\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.LNK = C:\Program Files\palmOne\Hotsync.exe
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOne\register.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E67FECD-E885-49E0-88C7-81BBE3881B81}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

23 réponses

  • 1
  • 2
Réponse 1 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 août 2008 à 14:48
Salut !!

Télécharger sur le bureau malwarebytes à cette adresse :

https://www.androidworld.fr/

Voici un tuto pour bien l installer et bien l utiliser :

https://www.androidworld.fr/


Après l analyse, redémarrer le pc et poste le rapport !!
0
Réponse 2 / 23
solana
25 août 2008 à 14:51
et bien tu na qua aller les suprimé manuelement non c'est simple -_- suit le chemin affiché part l'antivirus et suprime le ^^
0
Réponse 3 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
25 août 2008 à 22:27
Merci a vous.
Donc j'ai effectue le scan avec Malwarebytes, le tout en mode sans echec.
J'ai bien supprime puis mis en quarantaine et re-supprimer comme le tuto.

Il m'a trouve 2 infections, donc une qui correspond (au niveau du chemin) a un de mes 2 virus, mais pas au nom.
Quelle peut etre la cause de cette infection?
Je pense que je vais formate mon E:, c'est un disque de données.
Voici le rapport:

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2

22:18:27 25/08/2008
mbam-log-08-25-2008 (22-18-27).txt

Type de recherche: Examen complet (C:\|E:\|Z:\|)
Eléments examinés: 347057
Temps écoulé: 6 hour(s), 8 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
E:\Program Files\Visicom Media\GifMovieGear 4\uninst-gmg.exe (BHO.Baidu) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{F06B9B72-AC95-4D8F-B6CD-92588B5EAFB0}\RP35\A0005281.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
0
Réponse 4 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
25 août 2008 à 23:13
ok...c est déjà bien...maintenant fais ceci stp :

télécharge combofix (par sUBs) à cette adresse :

(c est le numéro 5 en bas de la page) : https://www.androidworld.fr/

et enregistre le sur le Bureau.


désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici un tuto pour bien l'installer et savoir l utiliser : https://www.androidworld.fr/


ensuite envois le rapport et ensuite refais un nouveau rapport hijackthis stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
26 août 2008 à 12:43
merci a toi.
Voici les deux rapports.
A noter que j'ai encore eu une alerte de virus sur mon disque E: avant scan, mais pas le mm nom que les deux autres.

Combofix:
ComboFix 08-08-25.01 - Ogrim Mortuus 2008-08-26 12:33:00.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.715 [GMT 2:00]
Endroit: C:\Documents and Settings\Ogrim Mortuus\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Ogrim Mortuus\Application Data\macromedia\Flash Player\#SharedObjects\2Q6HNRFC\bin.clearspring.com
C:\Documents and Settings\Ogrim Mortuus\Application Data\macromedia\Flash Player\#SharedObjects\2Q6HNRFC\bin.clearspring.com\clearspring.sol
C:\Documents and Settings\Ogrim Mortuus\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com
C:\Documents and Settings\Ogrim Mortuus\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@www.pixmania[1].txt

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-26 to 2008-08-26 ))))))))))))))))))))))))))))))))))))
.

2008-08-26 08:58 . 2008-08-26 11:02 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-08-25 22:28 . 2008-08-25 22:29 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-08-25 15:35 . 2008-08-25 15:37 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-25 15:35 . 2008-08-25 15:35 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\Malwarebytes
2008-08-25 15:35 . 2008-08-25 15:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-25 15:35 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 15:35 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 12:53 . 2008-08-25 12:53 0 --a------ C:\WINDOWS\QuickInstall.INI
2008-08-25 11:08 . 2008-08-25 11:08 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\Leadertech
2008-08-25 11:06 . 2008-08-25 11:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HotSync
2008-08-25 11:06 . 2008-08-25 11:04 53,248 --a------ C:\WINDOWS\PalmDevC.dll
2008-08-25 11:05 . 2008-08-26 09:22 <REP> d-------- C:\Program Files\palmOne
2008-08-25 11:05 . 2008-08-25 11:05 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\HotSync
2008-08-25 11:04 . 2008-08-25 11:04 <REP> d-------- C:\WINDOWS\Downloaded Installations
2008-08-24 18:17 . 2008-08-24 18:17 <REP> d-------- C:\Program Files\BitTorrent Fastest Tool
2008-08-24 13:50 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2008-08-24 13:50 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2008-08-24 13:50 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2008-08-24 13:50 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2008-08-24 13:50 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2008-08-24 13:50 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2008-08-24 13:50 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2008-08-24 13:50 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2008-08-22 16:50 . 2008-08-22 16:50 <REP> d-------- C:\WINDOWS\Samsung
2008-08-22 16:50 . 2003-09-08 10:36 204,800 --------- C:\WINDOWS\system32\SSRemove.exe
2008-08-22 16:50 . 2003-07-29 09:57 40,448 --------- C:\WINDOWS\system32\drivers\DGIVECP.SYS
2008-08-22 16:50 . 2003-01-14 14:38 14,002 --a------ C:\WINDOWS\system32\ssgb1mon.dll
2008-08-22 16:50 . 2003-07-21 13:50 8,478 --------- C:\WINDOWS\system32\SP119.ICO
2008-08-22 16:48 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-22 16:48 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-20 13:12 . 2008-08-26 08:55 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\AdobeUM
2008-08-19 18:44 . 2008-08-19 18:44 <REP> d-------- C:\WINDOWS\Sun
2008-08-19 17:03 . 2008-08-19 17:03 <REP> d--h----- C:\WINDOWS\PIF
2008-08-19 16:50 . 2008-08-19 16:50 <REP> d-------- C:\WAR2
2008-08-19 16:50 . 2008-08-19 16:50 26 --a------ C:\WINDOWS\WAR2R.INI
2008-08-17 12:49 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-17 12:49 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-08-17 12:49 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-08-16 18:38 . 2008-08-16 18:38 268 --ah----- C:\sqmdata00.sqm
2008-08-16 18:38 . 2008-08-16 18:38 244 --ah----- C:\sqmnoopt00.sqm
2008-08-16 18:03 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2008-08-16 18:02 . 2008-08-24 17:31 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Contacts
2008-08-16 18:01 . 2008-08-16 18:01 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-08-16 17:10 . 2008-08-16 18:01 <REP> d-------- C:\Program Files\Windows Live
2008-08-16 17:10 . 2008-08-16 18:01 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-08-16 17:09 . 2008-08-16 17:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-16 16:02 . 2008-08-16 16:04 <REP> d-------- C:\Program Files\a-squared Free
2008-08-16 15:55 . 2008-08-16 15:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-15 20:08 . 2008-08-26 10:44 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\LimeWire
2008-08-15 20:06 . 2008-08-15 20:06 <REP> d-------- C:\Program Files\Java
2008-08-15 20:06 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-15 20:02 . 2008-08-15 20:02 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-08-15 19:57 . 2008-08-15 19:59 <REP> d-------- C:\Program Files\LimeWire
2008-08-15 08:56 . 2008-08-15 08:56 <REP> d-------- C:\Program Files\Guitar Pro 5
2008-08-14 20:12 . 2008-08-14 20:12 <REP> d-------- C:\Program Files\Native Instruments
2008-08-14 20:12 . 2008-08-14 20:12 <REP> d-------- C:\Program Files\Fichiers communs\Digidesign
2008-08-14 20:09 . 2008-08-14 20:09 <REP> d-------- C:\Program Files\Steinberg
2008-08-14 20:08 . 2008-08-14 20:08 <REP> d-------- C:\Program Files\Synful
2008-08-14 20:08 . 2008-08-14 20:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Synful
2008-08-14 20:08 . 2002-01-05 04:36 964,608 --a------ C:\WINDOWS\system32\mfc70u.dll
2008-08-14 20:08 . 2002-01-05 03:40 487,424 --a------ C:\WINDOWS\system32\mscvp70.dll
2008-08-14 20:07 . 2008-08-14 20:08 <REP> d-------- C:\Program Files\GIMP
2008-08-14 20:06 . 2008-08-14 20:06 <REP> d-------- C:\Program Files\K-Lite Codec Pack
2008-08-14 20:06 . 2008-08-14 20:06 <REP> d-------- C:\Program Files\Fichiers communs\GTK
2008-08-14 20:06 . 2008-08-14 20:06 17,024 --a------ C:\WINDOWS\unins000.dat
2008-08-14 19:58 . 2008-08-14 19:58 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\GlobalSCAPE
2008-08-14 19:55 . 2008-08-14 19:55 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\Jasc Software Inc
2008-08-14 19:54 . 2008-08-14 19:55 <REP> d-------- C:\Program Files\Jasc Software Inc
2008-08-14 19:53 . 2008-08-14 19:53 <REP> d-------- C:\Program Files\Fichiers communs\Macromedia Shared
2008-08-14 19:53 . 2008-08-14 19:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Macrovision
2008-08-14 19:53 . 2002-01-05 04:48 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2008-08-14 19:53 . 2003-09-17 12:57 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-08-14 19:52 . 2008-08-14 19:53 <REP> d-------- C:\Program Files\Fichiers communs\Macromedia
2008-08-14 19:51 . 2008-08-14 19:53 <REP> d-------- C:\Program Files\Macromedia
2008-08-14 19:50 . 2008-08-14 19:50 <REP> d-------- C:\Program Files\directx9
2008-08-14 19:48 . 2008-08-14 19:48 <REP> d-------- C:\Program Files\CuteFTP Pro
2008-08-14 19:47 . 2008-08-14 19:48 <REP> d-------- C:\Program Files\CDBurnerXP Pro 3
2008-08-14 19:45 . 2008-08-14 19:45 52 --a------ C:\WINDOWS\cool.ini
2008-08-14 19:44 . 2008-08-14 20:04 <REP> d-------- C:\Temp
2008-08-14 19:44 . 2008-08-14 19:44 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\Syntrillium
2008-08-14 19:44 . 2008-08-14 19:45 11 --a------ C:\WINDOWS\wordpad.ini
2008-08-14 19:43 . 2008-08-14 19:45 <REP> d-------- C:\Program Files\Cool2000
2008-08-14 19:26 . 2008-08-14 19:26 <REP> d-------- C:\Documents and Settings\Ogrim Mortuus\Application Data\MSNInstaller
2008-08-14 18:50 . 2008-08-26 11:18 16,516 --a------ C:\WINDOWS\system32\BMXStateBkp-{00000002-00000000-00000009-00001102-00000002-80651102}.rfx
2008-08-14 18:50 . 2008-08-26 11:18 16,516 --a------ C:\WINDOWS\system32\BMXState-{00000002-00000000-00000009-00001102-00000002-80651102}.rfx
2008-08-14 18:50 . 2008-08-26 11:18 1,080 --a------ C:\WINDOWS\system32\settingsbkup.sfm
2008-08-14 18:50 . 2008-08-26 11:18 1,080 --a------ C:\WINDOWS\system32\settings.sfm
2008-08-14 18:50 . 2008-08-26 11:18 24 --a------ C:\WINDOWS\system32\DVCStateBkp-{00000002-00000000-00000009-00001102-00000002-80651102}.dat
2008-08-14 18:50 . 2008-08-26 11:18 24 --a------ C:\WINDOWS\system32\DVCState-{00000002-00000000-00000009-00001102-00000002-80651102}.dat
2008-08-14 18:41 . 2008-08-14 18:48 <REP> d-------- C:\drivers et divers
2008-08-14 18:33 . 2008-08-14 18:33 15,600 --a------ C:\WINDOWS\gdrv.sys
2008-08-14 18:26 . 2008-08-26 11:20 3,374,149 --a------ C:\WINDOWS\{00000002-00000000-00000009-00001102-00000002-80651102}.CDF
2008-08-14 18:26 . 2008-08-26 11:20 3,374,149 --a------ C:\WINDOWS\{00000002-00000000-00000009-00001102-00000002-80651102}.BAK
2008-08-14 18:23 . 2008-08-26 11:18 25,296 --a------ C:\WINDOWS\system32\BMXCtrlState-{00000002-00000000-00000009-00001102-00000002-80651102}.rfx
2008-08-14 18:23 . 2008-08-26 11:18 25,296 --a------ C:\WINDOWS\system32\BMXBkpCtrlState-{00000002-00000000-00000009-00001102-00000002-80651102}.rfx
2008-08-14 18:12 . 2008-08-15 09:21 <REP> d-------- C:\Pilotes pour Linux
2008-08-14 18:10 . 2004-08-03 23:15 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-08-14 18:10 . 2004-08-03 23:15 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-08-14 18:10 . 2004-08-04 02:54 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-08-14 18:10 . 2004-08-03 23:07 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-08-14 18:10 . 2004-08-03 23:07 6,400 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-08-14 18:10 . 2001-08-17 23:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-08-14 18:08 . 2008-08-14 18:08 <REP> d-------- C:\Program Files\Creative
2008-08-14 18:08 . 2004-08-04 02:54 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-08-14 18:08 . 2001-05-28 13:47 32,768 --a------ C:\WINDOWS\system32\AudioHQU.cpl
2008-08-14 18:08 . 2004-08-04 00:31 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2008-08-14 18:08 . 2001-07-06 01:00 12,288 --a------ C:\WINDOWS\system32\AHQCpURes.dll
2008-08-14 18:08 . 2004-08-03 23:08 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2008-08-14 18:08 . 2004-08-03 23:08 10,624 --a--c--- C:\WINDOWS\system32\dllcache\gameenum.sys
2008-08-14 18:08 . 1999-12-17 01:00 6,752 --------- C:\WINDOWS\system32\PFMODNT.SYS
2008-08-14 18:08 . 2001-08-17 23:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-08-14 18:08 . 2001-08-17 22:19 3,712 --a------ C:\WINDOWS\system32\drivers\ctljystk.sys
2008-08-14 18:06 . 2008-08-26 11:02 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2008-08-14 18:06 . 2008-08-14 18:06 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage réseau
2008-08-14 18:06 . 2008-08-14 18:06 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2008-08-14 18:06 . 2008-08-14 16:29 <REP> d--h----- C:\Documents and Settings\Default User\Modèles
2008-08-14 18:06 . 2008-08-14 18:06 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2008-08-14 18:06 . 2008-08-14 18:06 <REP> dr------- C:\Documents and Settings\Default User\Menu Démarrer
2008-08-14 18:06 . 2008-08-14 18:06 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2008-08-14 18:06 . 2008-08-14 18:06 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2008-08-14 18:06 . 2008-08-14 18:06 <REP> d--h----- C:\Documents and Settings\All Users\Modèles
2008-08-14 18:06 . 2008-08-14 17:38 <REP> dr------- C:\Documents and Settings\All Users\Menu Démarrer
2008-08-14 18:06 . 2008-08-14 18:06 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2008-08-14 18:06 . 2008-08-14 16:30 <REP> dr------- C:\Documents and Settings\All Users\Documents
2008-08-14 18:06 . 2008-08-25 22:29 <REP> d-------- C:\Documents and Settings\All Users\Bureau

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 09:04 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-08-14 18:06 75,791 ----a-w C:\WINDOWS\unins000.exe
2008-08-14 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\FZ5B5R3X.ZIP
2008-08-14 17:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-14 15:51 --------- d-----w C:\Program Files\Avira
2008-08-14 15:26 --------- d-----w C:\Program Files\AIDA32 - Personal System Information
2008-08-14 15:09 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-08-14 15:08 --------- d-----w C:\Program Files\SAGEM
2008-08-14 15:07 --------- d-----w C:\Documents and Settings\Ogrim Mortuus\Application Data\Grisoft
2008-08-14 15:04 --------- d-----w C:\Program Files\CCleaner
2008-08-14 15:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-14 15:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-08-14 14:34 --------- d-----w C:\Program Files\microsoft frontpage
2008-08-14 14:32 --------- d-----w C:\Program Files\Services en ligne
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-21 12:56 266497]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 17:56 24576 C:\WINDOWS\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\Ogrim Mortuus\Menu D‚marrer\Programmes\D‚marrage\
HotSync Manager.LNK - C:\Program Files\palmOne\Hotsync.exe [2004-06-09 14:27:34 471040]
palmOne Registration.lnk - C:\Program Files\palmOne\register.exe [2005-09-19 13:20:36 2367488]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-08-14 17:08:53 962667]
HOTSYNCSHORTCUTNAME.lnk - C:\Program Files\palmOne\Hotsync.exe [2004-06-09 14:27:34 471040]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=


*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 12:35:40
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-26 12:37:13
ComboFix-quarantined-files.txt 2008-08-26 10:37:11

Pre-Run: 964,210,688 octets libres
Post-Run: 1,268,604,928 octets libres

231 --- E O F --- 2008-08-26 09:03:55



Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:51, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Ogrim Mortuus\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.LNK = C:\Program Files\palmOne\Hotsync.exe
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOne\register.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E67FECD-E885-49E0-88C7-81BBE3881B81}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 6 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
26 août 2008 à 14:03
Salut !!

vas faire la mise à niveau d adobe reader à cette adresse stp :

https://get2.adobe.com/reader/otherversions/

ensuite :

Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

(c est le numéro 8 en bas de la page) : https://www.androidworld.fr/


Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.
> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..

Choisir son compte, pas celui de l'Administrateur ou autre.

Dérouler la liste des instructions ci-dessous :
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum


est ce que tu connais le nom et l emplacement exact du virus ??
0
Réponse 7 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
26 août 2008 à 17:20
Je vais faire ca de suite.

Le nom du nouveau virus est "TR/Dldr.ConHook.Gen", situe sur le E:
Le repertoire exact je sais plus.

Je vais faire ta manip et pense fomate le E:, c le plus simple, en esperant que cela n'ait pas contaminé le C:
0
Réponse 8 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
26 août 2008 à 18:23
voici le rapport de SDFix.
Je pense vraiment que ce virus et tous les autres se trouve dans le E: et non pas affectés mon systeme.
Il se presente souvent sous la forme d'un .dll
Cependant voici la rapport....et encore merci de prendre du temps pour moi.


[b]SDFix: Version 1.219 [/b]
Run by Ogrim Mortuus on 26/08/2008 at 18:08

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Ogrim Mortuus\Bureau\sdfix\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 18:18:34
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Thu 14 Aug 2008 1,131,560 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\94e2de28cb8ee27606822ca199876d4a\BIT1.tmp"

[b]Finished![/b]
0
Réponse 9 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
26 août 2008 à 21:28
ok maintenant :

télécharge a-squared free 3.5 à cette adresse : https://www.androidworld.fr/

fais la mise à jour et une analyse complète.

poste le rapport
0
Réponse 10 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
27 août 2008 à 14:17
Voici le rapport.
Au pass, SP3 s'est installé et a la fin de l'analyse avec Squared, j'ai choisi "supprimer les elements".
A noter aussi que j'ai formate le disque E:


Version - a-squared Free 3.5
Dernière mise à jour : 27/08/2008 12:33:28

Paramètres des balayages :

Éléments : Mémoire, Traces, Cookies, C:\, E:\, Z:\
Balaye dans les archives : Marche
Analyse heuristique : Marche
Balaye dans les ADS : Marche

Début du balayage : 27/08/2008 12:33:48

Key: HKEY_USERS\S-1-5-21-2025429265-329068152-839522115-1004\software\kazaa Objets détectés : Trace.Registry.KaZaA
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@2o7[2].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@adserver.aol[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@adserver.futura-sciences[2].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@adserver[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@adtech[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@advertising[2].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@atdmt[2].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@bluestreak[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@bs.serving-sys[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@cgi-bin[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@commentcamarche[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@com[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@doubleclick[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@media.adrevolver[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@mediaplex[2].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@metriweb[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@serving-sys[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@smartadserver[2].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@specificclick[2].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@tradedoubler[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@weborama[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Cookies\ogrim mortuus@www.cibleclick[1].txt Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\Ogrim Mortuus\Bureau\sdfix\SDFix\apps\Process.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\Ogrim Mortuus\Bureau\SDFix.exe/Process.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20
C:\SDFix\apps\Process.exe Objets détectés : Riskware.RiskTool.Win32.Processor.20

Analysé

Fichiers : 189651
Traces : 429553
Cookies : 383
Processus : 29

Objets trouvés

Fichiers : 3
Traces : 1
Cookies : 22
Processus : 0
Clés de Registre : 0

Fin du balayage : 27/08/2008 13:28:58
Temps du balayage : 0:55:10
0
Réponse 11 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
27 août 2008 à 14:27
Salut !!

maintenant vas supprimer toute la quarantaine d a-squared et fais ceci stp :

Option 1 - Recherche :


télécharge smitfraudfix et enregistre le sur le bureau à cette adresse (c est le numéro 2 en bas de la page) :

https://www.androidworld.fr/

Ensuite double clique sur smitfraudfix puis exécuter

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

copier/coller le rapport dans la réponse.
0
Réponse 12 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
27 août 2008 à 15:24
Salut.

Je n'ai pas pu telecharger ton soft, Antivir Bloque le Download a 99% car, selon la fenetre affichée:

"Contains recognition pattern of the DR/Tool.Rebbot.F.134 dropper"

J'ai donc fait "acces deny"....
0
Réponse 13 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
27 août 2008 à 15:28
Pour precision:

Le download via le "site de l'editeur" s'est passé sans probleme, le soft pesant 885Ko.

Par l'autre chemin automatique via siri.urz.free.fr, le Soft pese 1.5Mo et presente apparement un probleme.

Je fait ta manip de suite...
0
Réponse 14 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
27 août 2008 à 15:29
et re-precision a chaud:

le soft que j'ai telecharge ne fonctionne pas et indique:

"Echec CRC dans SmitfraudFix\SrchSTS.exe
Fin de l'archive incorrecte"
0
Réponse 15 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
27 août 2008 à 20:44
C est une fausse alerte, tu pouvais l accepter sans problèmes...smitfraudfix est reconnu comme une infection par certains antivirus mais c est une fausse alerte, c est en fait un outil de désinfection
0
Réponse 16 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
27 août 2008 à 21:11
hihihi...l'air con!
A noter qu'au deuxieme DL, antivir ne m'a rien dit ni detecté...mystere...

et bien voila le rapport, et merci:

SmitFraudFix v2.339

Rapport fait à 21:08:47,46, 27/08/2008
Executé à partir de C:\Documents and Settings\Ogrim Mortuus\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ogrim Mortuus\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ogrim Mortuus


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ogrim Mortuus\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\OGRIMM~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.36.80.1
DNS Server Search Order: 213.36.80.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8E67FECD-E885-49E0-88C7-81BBE3881B81}: NameServer=213.36.80.1 213.36.80.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8E67FECD-E885-49E0-88C7-81BBE3881B81}: NameServer=213.36.80.1 213.36.80.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 17 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
27 août 2008 à 21:17
il n a rien trouvé...as tu encore des problemes ??
0
Réponse 18 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
28 août 2008 à 13:06
Ben ecoute apparement non!
Le fait d'avoit formate le E: a du beaucoup jouer je pense....

Un grand merci a toi.
Si le probleme recommence, je sais sur quel forum aller....

Merci et a+!
0
Réponse 19 / 23
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
28 août 2008 à 14:10
Salut ogrim !!

si tu n as plus de problemes tu peux faire ceci pour terminer stp :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

Télécharge toolscleaner sur ton Bureau :

(c est le numéro 15 en bas de la page) : https://www.androidworld.fr/

* Double-clique sur ToolsCleaner2.exe et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Désactive et réactive la Restauration du système :

1 Dans la barre des tâches de Windows, clique sur Démarrer.

2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.

3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.

5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration dans accessoires----outils systeme----restauration du systeme.


Tu peux mettre ton problème résolu !!
0
Réponse 20 / 23
Ogrim Mortuus Messages postés 13 Date d'inscription lundi 25 août 2008 Statut Membre Dernière intervention 29 août 2008
28 août 2008 à 18:53
Voici voila:
G pas trop bien compris pourquoi cocher puis decocher tout de suite la resto systeme....mais si tu le dit....
Un grand merci a toi et longue vie a ce forum!
Je met resolu une fois que tu m'a confirmer comme quoi tout est bon?

-->- Recherche:

C:\Qoobox: trouvé !
C:\Documents and Settings\Ogrim Mortuus\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Ogrim Mortuus\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Ogrim Mortuus\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Ogrim Mortuus\Bureau\SmitFraudfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Ogrim Mortuus\Bureau\ComboFix.exe: Erreur de suppression !
C:\Documents and Settings\Ogrim Mortuus\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\Ogrim Mortuus\Bureau\SmitFraudFix.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\Ogrim Mortuus\Bureau\SmitFraudfix: supprimé !
0

Discussions similaires

Aide pour nom de duo !!
paupau15 -
cbauf -

9 réponses
duo chanson italienne
luna -
Cyranono63 -

18 réponses
Resiliation contrat avec Inwi
Tbou -
Morad -

3 réponses
Pack sérénité duo
Leti -
brucine -

1 réponse
Musique duo homme/femme
Pablito -
Abc -

4 réponses