Sujet Précédent Sujet Suivant

Trojan Generic_c.VCZ: problème avec AVG8

Fermé
petrovic - 17 sept. 2008 à 20:07
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 - 23 sept. 2008 à 02:40
Bonjour,
Je n'ai jamais eu de trojan, et je ne sais pas trop quoi faire... Depuis quelques jours mon ordi tourne en rond (ou pas rond plutôt). Au démarrage de windows (XP SP3) AVG8 me signale qu'il a fait la mise à jour de la base virale, et que ça nécessite un redémarrage. Au début je disais ok puis au bout de 2 ou 3 fois j'ai indiqué que je redémarrerai + tard... Et là il me dit qu'il a identifié le trojan Generic_c.VCZ. Mais j'ai beau demander qu'il le mette en quarantaine/qu'il l'élimine, ça ne donne rien: pire, le fond d'écran est devenu bleu, puis au bout de 5 minutes j'ai carrément un écran tout bleu avec un msg d'erreur, qui disparaît quand j'appuie sur ESC, mais un autre msg apparaît qq temps après. Et chaque fois que l'ordi redémarre AVG me signale la présence de ce même Trojan...
J'ai lu dans un autre msg qq un qui recommandait d'exécuter fixwareout.exe puis après le redémarrage récupérer le log...et ensuite faire un hijackthis...alors c'est ce que j'ai fait...
Je colla ça dessous, merci de votre aide

Username "utilisateur" - 17/09/2008 0:07:14 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
C:\Program Files\Microsoft Security Adviser Deleted
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMS"="C:\\Program Files\\Fichiers communs\\Logitech\\QCDriver3\\LVCOMS.EXE"
"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -masquer"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"AVG8_TRAY"="C:\\PROGRA~1\\AVG\\AVG8\\avgtray.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_05\\bin\\jusched.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"lphcp97j0ea7a"="C:\\WINDOWS\\system32\\lphcp97j0ea7a.exe"
"sysrest32.exe"="C:\\WINDOWS\\system32\\sysrest32.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Free Ram Optimizer"="C:\\Program Files\\AceLogix\\Free Ram Optimizer\\fro.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16:15, on 17/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgfws8.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\lphcp97j0ea7a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AceLogix\Free Ram Optimizer\fro.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Trend Micro\HijackThis\Monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lphcp97j0ea7a] C:\WINDOWS\system32\lphcp97j0ea7a.exe
O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Ram Optimizer] C:\Program Files\AceLogix\Free Ram Optimizer\fro.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://judikpen.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_1.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://62.201.137.56/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
A voir également:

7 réponses

Réponse 1 / 7
petrovic
17 sept. 2008 à 21:48
heeeelp!!!
0
Utilisateur anonyme
17 sept. 2008 à 22:54
bonsoir

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
-1
Réponse 2 / 7
petrovic
17 sept. 2008 à 22:51
aaaaaaargh
0
Réponse 3 / 7
petrovic
17 sept. 2008 à 23:39
merci à vous,
j'ai testé la solution de archet9 mais même pas pu redémarrer en mode sans échec, Windows ne m'a pas proposé le mode sans échec (??)
j'ai donc testé la solution de ludsfa et j'ai vu que Combofix avait trouvé le fichier dont AVG me parlait...
voici le résultat :

ComboFix 08-09-16.05 - utilisateur 2008-09-17 23:20:18.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.672 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\utilisateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\utilisateur\Cookies\utilisateur@edt02[1].txt
C:\Documents and Settings\utilisateur\Cookies\utilisateur@estara[2].txt
C:\Documents and Settings\utilisateur\Cookies\utilisateur@metaffiliation[1].txt
C:\Documents and Settings\utilisateur\Cookies\utilisateur@metrics.adobe[1].txt
C:\Documents and Settings\utilisateur\Cookies\utilisateur@t.ifilm[1].txt
C:\Documents and Settings\utilisateur\Cookies\utilisateur@tracker.affistats[2].txt
C:\WINDOWS\jestertb.dll
C:\WINDOWS\system32\blphcp97j0ea7a.scr
C:\WINDOWS\system32\lphcp97j0ea7a.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_sysrest.sys


((((((((((((((((((((((((((((( Fichiers cr‚‚s du 2008-08-17 au 2008-09-17 ))))))))))))))))))))))))))))))))))))
.

2008-09-17 23:00 . 2008-09-16 17:42 <REP> d-------- C:\SDFix
2008-09-17 00:06 . 2008-09-17 00:11 <REP> d-------- C:\fixwareout
2008-09-16 23:57 . 2008-09-16 23:57 <REP> d-------- C:\Program Files\Trend Micro
2008-09-16 23:53 . 2008-09-16 23:53 <REP> d-------- C:\Program Files\ma-config.com
2008-09-16 23:53 . 2008-09-16 23:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ma-config.com
2008-09-16 23:21 . 2008-09-16 23:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-09-16 23:08 . 2008-09-16 23:08 10 --a------ C:\WINDOWS\WININIT.INI
2008-09-16 20:37 . 2008-09-16 20:35 19,548,065 --a------ C:\WINDOWS\LPT$VPN.545
2008-09-16 20:35 . 2008-09-16 20:35 19,548,065 --a------ C:\WINDOWS\VPTNFILE.545
2008-09-16 20:34 . 2008-09-16 20:36 <REP> d-------- C:\WINDOWS\AU_Temp
2008-09-14 10:34 . 2008-09-14 10:34 18,944 --a------ C:\[u]0[/u]xf9.exe
2008-09-12 19:26 . 2008-09-12 19:26 <REP> d-------- C:\Documents and Settings\utilisateur\OngameNetwork
2008-09-12 00:52 . 1997-08-14 16:17 117,248 --a------ C:\WINDOWS\system32\Edec.dll
2008-09-12 00:52 . 1997-08-14 16:31 98,816 --a------ C:\WINDOWS\system32\Dec130.dll
2008-09-12 00:52 . 1997-08-14 16:24 89,600 --a------ C:\WINDOWS\system32\Winsdec.dll
2008-09-12 00:52 . 1997-08-14 11:10 80,896 --a------ C:\WINDOWS\system32\Winstr.dll
2008-09-12 00:52 . 1997-08-14 16:06 60,416 --a------ C:\WINDOWS\system32\Winplay.dll
2008-09-07 23:09 . 2008-09-17 23:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-07 23:09 . 2008-09-17 23:23 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-03 00:53 . 2008-09-03 00:53 <REP> d-------- C:\WINDOWS\Logs

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 18:57 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\SopCast
2008-09-16 21:00 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\ATI
2008-09-16 18:36 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-09-16 18:35 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-09-16 18:35 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-09-16 18:35 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-09-16 18:01 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\OpenOffice.org2
2008-09-15 17:11 --------- d-----w C:\Program Files\McDonaldsDragons
2008-09-13 16:33 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\Azureus
2008-09-12 16:46 --------- d-----w C:\Program Files\MSN Messenger
2008-09-11 21:59 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-09-11 21:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-11 21:53 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-11 12:49 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\Skype
2008-09-02 22:43 --------- d-----w C:\Program Files\Core Design
2008-08-12 21:24 --------- d-----w C:\Program Files\Azureus
2008-07-26 12:11 97,928 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-03-08 16:01 52,629,440 ----a-w C:\Program Files\avg80f_62a1257.exe
2008-03-08 15:36 1,855 ----a-w C:\Program Files\AVG Anti-Virus Free Edition 8.0 Build 62a1257.txt
2008-02-11 21:12 1,522,644 ----a-w C:\Program Files\setupsr.exe
2007-11-19 22:08 9,679,815 ----a-w C:\Program Files\vlc-0.8.6c-win32.exe
2007-11-18 17:50 17,521,856 ----a-w C:\Program Files\setupfre.exe
2007-11-18 17:44 6,796,944 ----a-w C:\Program Files\zlsSetup_51_033_000.exe
2007-11-05 12:17 5,632 -csha-w C:\Program Files\Thumbs.db
2007-08-21 18:58 151,040 ----a-w C:\Program Files\hexedit.exe
2007-04-20 09:23 25,839,688 ----a-w C:\Program Files\wmp11-windowsxp-x86-FR-FR.exe
2006-10-31 11:05 4,063,232 ----a-w C:\Program Files\DG834_V3.01.25.img
2006-07-04 14:03 443,774 ----a-w C:\Program Files\ac3filter_1_01a_rc5.exe
2006-05-31 09:29 11,817,800 -c--a-w C:\Program Files\GoogleEarthSetup.exe
2006-04-25 16:51 5,732,328 -c--a-w C:\Program Files\STUFFITF702.EXE
2006-01-18 09:09 18,393,363 -c--a-w C:\Program Files\WDM_A381.exe
2005-03-23 15:08 1,041,132 -c--a-w C:\Program Files\free-monitor-for-google_free_monitor_for_google_2.0_anglais_12507.exe
2005-03-15 16:25 3,755,091 -c--a-w C:\Program Files\httrack-3.33.exe
2005-02-19 15:44 231,936 -c--a-w C:\Program Files\2005 02 10 ETUDE DE MARCHE.doc
2005-02-19 15:20 0 -c--a-w C:\Program Files\monthubert
2005-02-18 13:24 67,517,198 -c--a-w C:\Program Files\OOo_1.1.4_Win32Intel_install_fr.zip
2005-02-02 17:29 635 -c--a-w C:\Program Files\index.bak
2005-02-02 16:03 6,756 -c--a-w C:\Program Files\contenus-illicites.bak
2005-02-02 15:12 4,882 -c--a-w C:\Program Files\protection-des-mineurs.bak
2005-02-02 13:59 269 -c--a-w C:\Program Files\site.wej
2004-12-14 14:54 1,267,617 -c--a-w C:\Program Files\mambo4.5.1.afrancais.gz
.
[code]<pre>
-c--a-w 2,469,888 2002-12-03 17:18:08 C:\Documents and Settings\utilisateur\Application Data\MyKey IBM\IBM MyKey .exe
</pre>[/code]


((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Free Ram Optimizer"="C:\Program Files\AceLogix\Free Ram Optimizer\fro.exe" [2003-08-22 57344]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-05 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 127022]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2003-04-24 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-24 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-24 455168]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-26 1235736]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-06-02 77824]
"lphcp97j0ea7a"="C:\WINDOWS\system32\lphcp97j0ea7a.exe" [N/A]
"sysrest32.exe"="C:\WINDOWS\system32\sysrest32.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mxmc"= MimicICM.DLL
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^utilisateur^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk]
path=C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 20:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_SL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2007-03-01 10:37 2321600 C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CleanRam]
C:\Program Files\Clean Ram\cleanram.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-04 07:31 208952 C:\WINDOWS\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
C:\Program Files\Real\RealPlayer\RealPlay.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SphCatiSvr8088"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"C:\\WINDOWS\\system32\\CIMSVR.exe"=
"C:\\Program Files\\Outlook Express\\msimn.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Yooda\\Yooda seeUrank\\SeeUrank.exe"=
"C:\\Program Files\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Spybot - Search & Destroy\\SpybotSD.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-06-20 12936]
R0 viaraid;viaraid;C:\WINDOWS\system32\DRIVERS\viaraid.sys [2003-05-20 70272]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-26 97928]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-15 875288]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-26 231704]
R2 avgfws8;AVG8 Firewall;C:\PROGRA~1\AVG\AVG8\avgfws8.exe [2008-07-26 1220888]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-06-20 76040]
R3 Avgfwdx;Avgfwdx;C:\WINDOWS\system32\DRIVERS\avgfwdx.sys [2008-06-20 23296]
R3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 171264]
S3 Avgfwfd;AVG network filter service;C:\WINDOWS\system32\DRIVERS\avgfwdx.sys [2008-06-20 23296]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-09-02 191656]
.
Contenu du dossier 'Tƒches planifi‚es'
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-AtiExtEvent - (no file)


.
------- Examen suppl‚mentaire -------
.
FireFox -: Profile - C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\s2e92970.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.sms-groupe.com/
FF -: plugin - C:\Program Files\ma-config.com\nphardwaredetection.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 23:28:00
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cach‚s ...

Recherche d'‚l‚ments en d‚marrage automatique cach‚s ...

Recherche de fichiers cach‚s ...

Scan termin‚ avec succŠs
Fichiers cach‚s: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Windows Defender\MsMpEng.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Heure de fin: 2008-09-17 23:35:05 - La machine a red‚marr‚
ComboFix-quarantined-files.txt 2008-09-17 21:35:00

Avant-CF: 31,036,395,520 octets libres
AprŠs-CF: 31,081,779,200 octets libres

208 --- E O F --- 2008-09-16 18:03:35
0
Réponse 4 / 7
petrovic
18 sept. 2008 à 00:19
bon j'ai redémarré et il semblerait que le trojan ne soit plus là... merci ludsfa...et combofix
vu que par contre AVG n'arrive toujours pas à faire la mise à jour de sa base virale, je comprends mieux comment ce trojan a pu s'infiltrer.. le problème doit venir de là qu'est ce que vous me conseillez de faire pour que ça ne se reproduise pas? je garde avg? je désinstalle?
merci encore
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
ludsfa Messages postés 1284 Date d'inscription dimanche 3 février 2008 Statut Membre Dernière intervention 15 janvier 2018 15
17 sept. 2008 à 22:56
Bonjour,

Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) !

* Télécharge ComboFix (sUBs) sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.
-1
Réponse 6 / 7
ludsfa Messages postés 1284 Date d'inscription dimanche 3 février 2008 Statut Membre Dernière intervention 15 janvier 2018 15
18 sept. 2008 à 07:35
salut,



Pour le moment garde le on va continuer la désinfection et après je te dirai quoi faire et pourquoi c'est arrivé.



bien copie tout le texte en gras ci-desssous:


file::
C:\[u]0/uxf9.exe
C:\fixwareout
C:\SDFix
C:\WINDOWS\AU_Temp

folder::
C:\Program Files\OOo_1.1.4_Win32Intel_install_fr.zip
2005-02-02 17:29 635 -c--a-w C:\Program Files\index.bak
C:\Documents and Settings\utilisateur\Application Data\MyKey IBM\IBM MyKey .exe
</pre>/code
C:\Program Files\mambo4.5.1.afrancais.gz
C:\Program Files\site.wej
C:\Program Files\OOo_1.1.4_Win32Intel_install_fr.zip

registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lphcp97j0ea7a"=-
"sysrest32.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ALUAlert"=-







Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précédemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
NOTE : S'il n'y a pas de redémarrage, poste quand même les rapports demandés.
-1
Réponse 7 / 7
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
23 sept. 2008 à 02:40
salut ludsfa,

Je passais par hazard.
Pourquoi effacer SDFix et Fixwareout? Ceux sont des fix installé au préalable par petrovic.
De plus les fichiers a effacé sont dans folder:: au lieu de file:: et inversement pour les répertoires dans file:: ...
Attention à ce que tu fais avec Combofix et il y a également 2 erreurs de syntaxe.
2005-02-02 17:29 635 -c--a-w C:\Program Files\index.bak
</pre>/code
En vérifiant le fichier suivant est valide C:\Documents and Settings\utilisateur\Application Data\MyKey IBM\IBM MyKey .exe
Il sert à lire les clé usb.
Tu vas trop vite, dans le doute faire scanner les fichiers avec le site www.virustotal.com

A+


Denis
-1

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses