Sujet Précédent Sujet Suivant

Cheval de Troie Vundo

Résolu/Fermé
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 - 24 oct. 2008 à 17:38
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 26 oct. 2008 à 20:11
Bonjour,

j'ai un problème avec un cheval de Troie ( Vundo) détecté par le logiciel RemoveIT pro v4 (version gratuite), et qui me suggère de supprimer manuellement. je vous propose de me dire, tout d'abord, de me donner votre avis sur ce rapport. merci.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:02, on 24/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\Taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~4.0_0\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
25 oct. 2008 à 21:22
mais comment faire alors pour comodo qu'est toujours actif selon le centre de sécurité ? car je me retrouve du coup avec deux pare-feux (celui de windows est activé aussi )
0
Réponse 2 / 26
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 oct. 2008 à 21:24
je suis occupé ce soir

regarde ici en attendant

https://forum.zebulon.fr/topic/117781-probl%C3%A8me-apr%C3%A8s-d%C3%A9sinstallation-comodo-firewall-resolu/
0
Réponse 3 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
25 oct. 2008 à 21:26
ok, merci pour tout et bonne soirée.
0
Réponse 4 / 26
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 oct. 2008 à 09:22
encore des soucis?







pour virer ce qui a été utilisé lance tools cleaner

http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
26 oct. 2008 à 09:58
bonjour,

ce logiciel n'est compatible qu'avec Xp. Mais j'ai toujours Comodo actif dans le centre de sécurité.
0
Réponse 6 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
26 oct. 2008 à 10:46
j'ai pu résoudre ce problème grâce à cette procédure : Dans Démarrer, Exécuter, tape cmd.

Tape les commandes suivantes en répondant O (Oui) aux demandes de confirmation :

net stop winmgmt ===> Entrée -Cliquer sur o - Entrée
cd %windir%\system32\wbem ===> Entrée
rd /s Repository ===> Entrée -Cliquer sur o - Entrée
net start winmgmt ===> Entrée et tu fermes la fenêtre

Remarque : il faut taper la lettre o ou O , mais pas le chiffre 0 (zéro)

Après redémarrage du PC, le système met environ une minute à récupérer les informations WMI.
Les informations du centre de sécurité sont à jour.

Mais l'antivirus est introuvable d'après le centre de sécurité, pourtant, l'antivirus fonctionne normalement!


Merci à "nardino" pour l'astuce !
0
Réponse 7 / 26
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 999
26 oct. 2008 à 20:11
Salut, si ton problème est résolu, passe le statut de ton message sur "résolu".
Bonne soirée.
0
Réponse 8 / 26
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2008 à 17:41
slt,


installe malwarebyte et colle nous un rapport avec:

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
-1
Réponse 9 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 17:45
bonjour,

c'est déjà fait, mais il n'a rien trouvé.
-1
Réponse 10 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 17:47
j'ai lancé vundofix à plusieurs reprises depuis hier : aucun résultat ! je commence à me douter un peu de ce logiciel qui m'a trouvé le trojan.
-1
Réponse 11 / 26
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2008 à 17:56
vundofix est dépassé ....


pour être sûr


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
-1
Réponse 12 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 18:06
et si je l'ouvrais depuis le dossier Téléchargement ?
-1
Réponse 13 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 19:42
voilà, je l'ai exécuté en mode sans échec :

ComboFix 08-10-23.08 - 2008-10-24 19:09:43.2 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1687 [GMT 2:00]
Lancé depuis: C:\Users\\Desktop\ComboFix.exe
.
Error: Cfiles.dat

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES


((((((((((((((((((((((((((((( Fichiers créés du 2008-09-24 au 2008-10-24 ))))))))))))))))))))))))))))))))))))
.

2008-10-24 19:09 . 2008-10-24 19:09 <REP> d----c--- C:\32788R22FWJFW
2008-10-23 12:22 . 2008-10-24 12:00 <REP> d-------- C:\Program Files\InCode Solutions
2008-10-20 19:20 . 2008-10-20 19:20 <REP> d-------- C:\Users\\AppData\Roaming\InstallShield
2008-10-20 00:51 . 2008-10-23 17:55 <REP> d-------- C:\Users\\AppData\Roaming\vlc
2008-10-20 00:50 . 2008-10-20 00:50 <REP> d-------- C:\Program Files\VideoLAN
2008-10-17 12:12 . 2008-10-17 12:12 <REP> d-------- C:\Program Files\Ubisoft
2008-10-16 23:11 . 2008-10-23 22:32 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-16 23:11 . 2008-10-22 16:10 38,496 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-10-16 23:11 . 2008-10-22 16:10 15,504 --a------ C:\Windows\System32\drivers\mbam.sys
2008-10-16 17:59 . 2008-10-18 19:52 <REP> d-------- C:\Program Files\Genesys PC Camera Device
2008-10-15 12:07 . 2008-10-02 05:49 827,392 --a------ C:\Windows\System32\wininet.dll
2008-10-15 12:07 . 2008-08-05 11:49 428,544 --a------ C:\Windows\System32\EncDec.dll
2008-10-15 12:07 . 2008-08-05 11:49 293,376 --a------ C:\Windows\System32\psisdecd.dll
2008-10-15 12:07 . 2008-08-05 11:48 217,088 --a------ C:\Windows\System32\psisrndr.ax
2008-10-15 12:07 . 2008-08-05 11:48 177,664 --a------ C:\Windows\System32\mpg2splt.ax
2008-10-15 12:07 . 2008-08-05 11:48 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-10-15 12:06 . 2008-09-18 07:09 3,601,464 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-10-15 12:06 . 2008-09-18 07:09 3,549,240 --a------ C:\Windows\System32\ntoskrnl.exe
2008-10-15 12:06 . 2008-09-18 04:16 2,032,640 --a------ C:\Windows\System32\win32k.sys
2008-10-15 12:06 . 2008-10-02 03:32 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-10-15 12:06 . 2008-08-27 03:06 288,768 --a------ C:\Windows\System32\drivers\srv.sys
2008-10-14 19:16 . 2008-10-14 19:16 <REP> d-------- C:\Users\\AppData\Roaming\Stardock
2008-10-14 19:14 . 2008-10-14 19:49 <REP> d-------- C:\Users\All Users\Stardock
2008-10-14 19:14 . 2008-10-14 19:49 <REP> d-------- C:\ProgramData\Stardock
2008-10-14 19:14 . 2008-10-14 19:14 <REP> d-------- C:\Program Files\Stardock Games
2008-10-12 22:21 . 2008-10-12 22:21 <REP> d-------- C:\Program Files\IZArc
2008-10-12 21:45 . 2008-10-12 21:45 <REP> d-------- C:\Users\All Users\Intel
2008-10-12 21:45 . 2008-10-12 21:45 <REP> d-------- C:\ProgramData\Intel
2008-10-12 21:45 . 2008-10-12 21:45 <REP> d-------- C:\Program Files\Common Files\Intel
2008-10-12 21:45 . 2008-10-12 21:45 <REP> d-------- C:\Program Files\Cisco
2008-10-09 16:05 . 2008-10-09 16:05 <REP> d----c--- C:\Sandbox
2008-10-09 16:04 . 2008-10-09 16:04 <REP> d-------- C:\Program Files\Sandboxie
2008-10-09 16:04 . 2008-10-17 13:17 1,698 --a------ C:\Windows\Sandboxie.ini
2008-10-05 20:23 . 2008-10-05 20:23 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-24 17:29 348,371 ---ha-w C:\Windows\system32\drivers\vsconfig.xml
2008-10-24 17:09 2,097,152 --sha-w C:\Users\Invité\ntuser.dat
2008-10-24 17:09 2,097,152 --sha-w C:\Users\Invité\ntuser.dat
2008-10-23 21:29 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-10-23 18:07 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-10-23 15:55 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-10-23 15:55 --------- d-----w C:\Program Files\Windows Live
2008-10-20 19:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-20 19:39 --------- d-----w C:\Program Files\Realtek
2008-10-15 10:31 --------- d-----w C:\Program Files\Windows Mail
2008-10-11 16:12 --------- d-----w C:\ProgramData\WLInstaller
2008-10-11 07:30 1,805,362 ----a-w C:\Windows\Internet Logs\tvDebug.Zip
2008-10-10 19:39 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-09-23 21:29 --------- d-----w C:\Program Files\Zone Labs
2008-09-19 15:43 61,952 ----a-w C:\Windows\system32\drivers\RTSTOR.sys
2008-09-18 19:10 --------- d-----w C:\Program Files\iWizz
2008-09-16 20:53 --------- d-----w C:\ProgramData\ma-config.com
2008-09-16 20:53 --------- d-----w C:\Program Files\ma-config.com
2008-09-15 15:23 --------- d-----w C:\Program Files\Foxit Software
2008-09-14 13:39 --------- d-----w C:\Program Files\Microsoft IntelliPoint
2008-09-14 13:11 --------- d-----w C:\Program Files\Intel
2008-09-14 11:45 --------- d-----w C:\ProgramData\Roaming
2008-09-14 10:11 --------- d-----w C:\Users\\AppData\Roaming\Intel
2008-09-12 00:08 --------- d-----w C:\ProgramData\Avira
2008-09-12 00:08 --------- d-----w C:\Program Files\Avira
2008-09-11 23:14 --------- d-----w C:\Program Files\Google
2008-09-10 21:42 --------- d-----w C:\Program Files\Common Files\Ahead
2008-09-10 13:27 --------- d-----w C:\Program Files\Zone Labs(226)
2008-09-03 13:59 --------- d-----w C:\Users\\AppData\Roaming\Ahead
2008-08-31 21:43 --------- d-----w C:\Program Files\Java
2008-08-30 17:13 141,312 ----a-w C:\Windows\system32\drivers\sp_rsdrv2.sys
2008-08-29 20:22 --------- d-----w C:\Program Files\CCleaner
2008-08-29 20:18 --------- d-----w C:\Program Files\Windows Collaboration
2008-08-29 08:33 --------- d-----w C:\Program Files\Mozilla Firefox(45)
2008-08-28 21:48 3,664,384 ----a-w C:\Windows\system32\drivers\NETw5v32.sys
2008-08-26 14:48 --------- d-----w C:\Users\\AppData\Roaming\Malwarebytes
2008-08-26 14:47 --------- d-----w C:\ProgramData\Malwarebytes
2008-08-25 19:37 --------- d-----w C:\Program Files\Spybot - Search & Destroy(46)
2008-08-25 18:20 --------- d-----w C:\Program Files\Spybot - Search & Destroy(30)
2008-08-25 17:27 --------- d-----w C:\Users\\AppData\Roaming\Talkback
2008-08-25 17:27 --------- d-----w C:\Program Files\Common Files\Adobe
2008-08-24 10:59 --------- d-----w C:\Program Files\Spybot - Search & Destroy(48)
2008-07-31 03:32 460,288 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-31 03:32 2,154,496 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-31 03:32 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-05-26 21:46 48,605 ----a-w C:\Users\\AppData\Roaming\nvModes.dat
2008-03-19 18:59 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"FilterAdministratorToken"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
--a------ 2008-01-19 09:33 125952 C:\Windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GenePccMon.exe]
-ra------ 2007-02-13 17:21 36864 C:\Program Files\Genesys PC Camera Device\GenePccMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
--a------ 2008-07-20 17:45 182808 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2008-06-10 12:56 1406024 C:\Program Files\Microsoft IntelliPoint\ipoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]
--a------ 2008-09-02 14:33 716800 C:\Program Files\Sandboxie\SbieCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
--a------ 2007-08-03 13:22 1826816 C:\Windows\SkyTel.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NvSvc"=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
"NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{9F367A47-D607-4758-8F7B-77A396D9810B}"= UDP:C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu(tm)\game.dat:La Bataille pour la Terre du Milieu(tm)
"{D9420B4B-3110-47C5-BB99-1982BF81259F}"= TCP:C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu(tm)\game.dat:La Bataille pour la Terre du Milieu(tm)
"{46446A10-545D-4F5E-9652-43D97C064E3A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{3E5FD3D9-39AA-45F6-B12E-EBD7379BC8B3}C:\\program files\\ubisoft\\splinter cell pandora tomorrow\\pandora.exe"= UDP:C:\program files\ubisoft\splinter cell pandora tomorrow\pandora.exe:pandora
"UDP Query User{8C2EE41A-15E6-415F-85CD-2C28C45EEB69}C:\\program files\\ubisoft\\splinter cell pandora tomorrow\\pandora.exe"= TCP:C:\program files\ubisoft\splinter cell pandora tomorrow\pandora.exe:pandora
"{C0DC90AC-7570-40EA-A140-2CC8E606A7A2}"= UDP:48113:LocalSubnet:LocalSubnet:maconfig_tcp
"{7A1501DA-5A4E-456E-912B-8C4F78F2F266}"= TCP:48113:LocalSubnet:LocalSubnet:maconfig_udp
"{6B13FD55-0B27-456D-A214-CA0E28C43856}"= UDP:C:\Program Files\ma-config.com\maconfservice.exe:maconfservice
"{15536910-647B-499F-97C1-03545C2D2E93}"= TCP:C:\Program Files\ma-config.com\maconfservice.exe:maconfservice
"TCP Query User{FB06E56F-1CD1-4934-96BA-1DFACD14E8D9}C:\\program files\\videolan\\vlc\\vlc.exe"= UDP:C:\program files\videolan\vlc\vlc.exe:VLC media player
"UDP Query User{A271DF5C-1030-42FD-92DF-C5E22399D9BF}C:\\program files\\videolan\\vlc\\vlc.exe"= TCP:C:\program files\videolan\vlc\vlc.exe:VLC media player
"{5084FB25-2588-4F76-BAD4-1979BA7FB9C3}"= UDP:C:\Program Files\Stardock Games\The Political Machine 2008 Express\PolMachine2008Express.exe:The Political Machine 2008
"{311F6696-C331-46E3-958C-3B01F55C2BCF}"= TCP:C:\Program Files\Stardock Games\The Political Machine 2008 Express\PolMachine2008Express.exe:The Political Machine 2008

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Configurable\System]
"Rip-Listener-1"= TCP:520|%SystemRoot%\System32\svchost.exe|Svc=iprip:@iprip.dll,-200|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\Windows\system32\drivers\sp_rsdrv2.sys [2008-08-30 141312]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-07-07 809296]
R3 DCamUSBGene;GenesysLogic USB2.0 PC Camera;C:\Windows\system32\DRIVERS\usbgene.sys [2007-06-26 131584]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-08-28 3664384]
R3 RTSTOR;Realtek USB 2.0 Card Reader;C:\Windows\system32\drivers\RTSTOR.SYS [2008-09-19 61952]
R3 SbieDrv;SbieDrv;C:\Program Files\Sandboxie\SbieDrv.sys [2008-09-02 100352]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\Windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-09-02 191656]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
ipripsvc REG_MULTI_SZ iprip

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c09eada9-830e-11dd-aca2-806e6f6e6963}]
\shell\AutoRun\command - F:\.apps\win32-loader.exe
\shell\start\command - F:\.apps\win32-loader.exe
.
Contenu du dossier 'Tâches planifiées'

2008-08-15 C:\Windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- C:\Spybot - Search & Destroy\SpybotSD.exe [2008-07-30 14:45]

2008-10-24 C:\Windows\Tasks\User_Feed_Synchronization-{0670080F-934F-438D-A538-B9F220B22F3E}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-19 09:33]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\2pam243i.default\
FF -: plugin - C:\Program Files\ma-config.com\nphardwaredetection.dll
FF -: plugin - c:\Program Files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF -: plugin - c:\Program Files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 19:30:16
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\System32\wlanext.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\System32\conime.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2008-10-24 19:37:02 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-24 17:36:54

Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Après-CF: 102,073,376,768 octets libres

223 --- E O F --- 2008-10-24 11:51:40
-1
Réponse 14 / 26
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2008 à 20:11
ok

analyse ce fichier sur virus total et si infécté tu le vire: https://www.virustotal.com/gui/


C:\32788R22FWJFW

_____________________


Telecharge UsbFix sur ton bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/U­sbFix.exe

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
_______________



antivir trouve des infections???
-1
Réponse 15 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 20:33
je suis en train d'effectuer une analyse avec l'outil de suppression de logiciels malveillants de windows. par contre, le fichier que je voulais analyser été vide alors je l'ai supprimé. sinon Usbfix doit être en mode sans échec ?
-1
Réponse 16 / 26
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
24 oct. 2008 à 20:37
pour usbfix tu fais en mode normal
-1
Réponse 17 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 20:43
j'utilise firefox, et quand je fais un clique-droit sur le lien du logiciel, je dois choisir " enregistrer la cible du lien sous.., c'est bien ça ?
-1
Réponse 18 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 20:57
j'ai enfin réussi. je l'exécute en tant qu'administrateur ?
-1
Réponse 19 / 26
morierti Messages postés 550 Date d'inscription lundi 4 août 2008 Statut Membre Dernière intervention 1 mai 2009 49
24 oct. 2008 à 21:08
-------------- UsbFix V2.395 ---------------

* User : - PC-DE-
* Outils mis a jours le 20/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 21:01:24 le 24/10/2008
* Windows Vista - Internet Explorer 7.0.6001.18000


--------------- [ Processus actifs ] ----------------


C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\\AppData\Local\Temp\E030.tmp\b2e.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\PresentationSettings.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe
D: - Lecteur fixe
F: - Lecteur amovible

+- Contenu de l'autorun : F:\autorun.inf

[autorun]
icon=.apps\autorun.ico
label=Mandriva Flash
open=.apps\win32-loader.exe
action=Start Mandriva Flash
shell=start
shell\start\command=.apps\win32-loader.exe
shell\start=Start Mandriva Flash

--------------- [ Registre / Startup ] ----------------


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ZoneAlarm Client REG_SZ "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ccleaner REG_SZ "C:\Program Files\CCleaner\CCleaner.exe" /AUTO


--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c09eada9-830e-11dd-aca2-806e6f6e6963}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1806544505-43008206-1692659490-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c09eada9-830e-11dd-aca2-806e6f6e6963}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - F:\autorun.inf

--------------- ! Fin du rapport ! ----------------
-1
Réponse 20 / 26
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 oct. 2008 à 08:53
antivir trouve des infections???
-1

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses
Nom d'une musique classique
panoramaaa -
Thierry -

9 réponses