TROJAN-DROPPER.win32.agent.tor!A2

Question

Salut,

Depuis une semaine je suis infecté par ce trojan. Sur mon PC le plus infecté, je ne peux pour l'instant plus installer et rétablir ma connexion internet. Malgré un formatage et une réinstallation il était toujours présent. L'utilisation de NOD32 et de Ad-Aware m'a permis d'identifier certains fichier vérolés tels que "KEYFINDER.EXE" ou "SYSDM.EXE" et malgré l'utilisation de plusieurs anti-virus puis de la suppression de fichiers contaminés... ceux-ci étaient a nouveau présents au redémarrage. Sur ce poste j"ai aussi changé le disque dur par un neuf en pensant que le virus se situait dans les secteurs de démarrage de mon disque mais cela n'a rien changé. Quelqu'un a-t-il déjà été confronté à ce trojan et comment en êtes-vous débarrassé ? Pour l'instant je vérifie si mon deuxième poste n'est pas infecté car j"ai voulu formater et désinfecté mon premier disque dur dessus. Que faire en sachant que pour l'instant je n'ai pas vraiment de solution pour vous transmettre un rzpport HijackThis de ce PC

Par avance merci !

toto957 · Answer

Bonjour, j'ai une solution pour toi !! Télécharge super antispyware et avec ce logiciel fais un scan de ton ordinateur il va te trouver ton trojan et te le mettre en quarantaine et ensuite tu pourras le supprimer !!
voilà j'espère que tu vas y arriver !

toto957

Dakiz · Answer

Alors ce que je te propose :

CTRL + ALT + SUPPR. et va dans l'onglet processus.
Ensuite essaye de voir si tu as un processus éxécuté qui porte le nom "KEYFINDER.EXE" ou "SYSDM.EXE ou quelque nom "bizarre" (en général se sont des éxécutifs)
Clique droit dessus et fais "Terminer le processus" et valide.
Analyse ton PC SANS REDEMARRER !
Supprime ou met en quarantaine les virus trouvés...

Je te conseil Avast qui est devenu un super AV ;)

toto957 · Answer

Est-ce que tu t'en sors ?

Dakiz · Answer

J'ai peut-être une idée. As-tu eu un logiciel sois-disant Antivirus qui s'est installé sur ton ordinateur sans que tu lui "demande" ?

toto957 · Answer

oui moi aussi je l'ai eu il s'appelle super antivirus xp 2008 il faut que tu le supprime c'est de l'arnaque

Dakiz · Answer

Oui il faut faire attention a ce genre de "logiciel" qui sont en réalité des virus .

Le queniau · Answer

Malheureusement je vais devoir laisser pour ce soir... je reprendrais demain soir. Bonne nuit !

Dakiz · Answer

De même =]

Le queniau · Answer

Voici le rapport HijackThis de mon deuxième PC. Il y a deux partitions. La première avec win98 et la deuxième avec XP.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:53, on 04/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\SOUNDMAN.EXE
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\Eset
od32kui.exe
F:\Program Files\BroadJump\Client Foundation\CFD.exe
F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
F:\Program Files\QuickTime\QTTask.exe
F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
F:\Program Files\Soft4Ever\looknstop\_looknstop.exe
F:\Program Files\Executive Software\Diskeeper\DkService.exe
F:\Program Files\Eset
od32krn.exe
F:\WINDOWS\system32
vsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DiskeeperSystray] "F:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "F:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "F:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [NVMixerTray] "F:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [BJCFD] F:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - F:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - F:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - F:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32
vsvc32.exe

Le queniau · Answer

Voici le rapport de mon premier PC. J'ai réussi à le reconnecter à internet. Sous Explorer il m'est impossible de poser une question sur CCM (problème de cookies) alors que sous Firefox tout à l'air d'aller.
Hier j'ai passer AVG sur mon deuxième PC qui m'a permis de supprimer Dropper.Agent.Tor. Pour l'instant en scannant mes deux PC avec AVG et Ad-Aware rien n'est détecté !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:01:27, on 06/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Eset
od32kui.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\TweakRAM\TweakRAM.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

Le queniau · Answer

Personne pour me dire s'il y a quelque chose de suspect dans mes deux rapports ?

Le queniau · Answer

Un trojan peut-il être dans la ram sans être détecté et y-a-t-il un bon utilitaire pour le vérifier ?

jorginho67 · Answer

Salut !

Hum hum... [nltide3]... pas de IE7 ?...


Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme. 
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.
Tutoriel

Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système.


Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur Parcourir et cherche ce fichier : (en gras ci dessous )

C:\Windows\System32\Vistadrive\vsdrv.exe
C:\Program Files\TweakRAM\TweakRAM.exe ====> Fais le un dossier a la fois 


Clique sur Send File.

Tu devras surement patienter, il y a toujours une file d'attente.
Un rapport va s'élaborer ligne à ligne.

Attends la fin. Tu dois voir la mention Finished sur la droite.
Le rapport  doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie/colle le dans ta prochaine réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant.

jorginho67 · Answer

T'inquietes, depuis qu'on se connais, je suis resté sur V/S ;-)

Il y a meilleurs que moi, mais ça va, j'arrive a me débrouiller ;-)

Bon, c'est bien ce qui me semblais... pas net ces fichiers.

Est ce qu'ils te disent quelque chose ?

C:\Windows\System32\Vistadrive\vsdrv.exe
C:\Program Files\TweakRAM\TweakRAM.exe

jorginho67 · Answer

On nettoie tout ça

Telecharge sur ton bureau:

* ATF Cleaner en clicquant ici => http://www.atribune.org/ccount/click.php?id=1

Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected , patiente jusqu'à la fin du nettoyage

Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

Tutoriel => http://mickael.barroux.free.fr/securite/atf_cleaner.php

jorginho67 · Answer

Tes coockies sont cuits ?

sur CCM cela m'annonce un problème de cookies !

ça donne quoi maintenant ?

jorginho67 · Answer

En même temps => Internet Explorer v6.00 SP2

Faudrait faire la MàJ...

peux tu me faire un scan en ligne Kaspersky sous Internet Explorer stp ?

voir ici comment

Désactive ton antivirus, le temps du scan !

Clique sur Démarrer Online-Scanner
Clique ensuite  sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail.
Sauvegarde puis colle le rapport généré en fin de scan.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée"
va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner
reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

jorginho67 · Answer

Supprime : C:\WINDOWS\system32\cmdow.exe

jorginho67 · Answer

ok


bonne nuit

Le queniau · Answer

Je viens de scanner avec Ad-aware et voici le rapport :


Ad-Aware SE Build 1.06r1
Logfile Created on:samedi 8 novembre 2008 19:56:59
Using definitions file:SE1R125 06.10.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):6 total references.
Tracking Cookie(TAC index:3):10 total references.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Started tracking cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@adserver.aol[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:3
    Value              : Cookie:administrateur@adserver.aol.fr/
    Expires            : 06-11-2010 23:44:14
    LastSync           : Hits:3
    UseCount           : 0
    Hits               : 3

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@estat[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:administrateur@estat.com/
    Expires            : 04-11-2018 23:44:48
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@247realmedia[2].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:3
    Value              : Cookie:administrateur@247realmedia.com/
    Expires            : 01-01-2021 01:00:00
    LastSync           : Hits:3
    UseCount           : 0
    Hits               : 3

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@advertising[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:31
    Value              : Cookie:administrateur@advertising.com/
    Expires            : 07-11-2010 19:12:24
    LastSync           : Hits:31
    UseCount           : 0
    Hits               : 31

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@bluestreak[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:3
    Value              : Cookie:administrateur@bluestreak.com/
    Expires            : 05-11-2018 14:11:58
    LastSync           : Hits:3
    UseCount           : 0
    Hits               : 3

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@tradedoubler[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:4
    Value              : Cookie:administrateur@tradedoubler.com/
    Expires            : 21-11-2008 23:56:12
    LastSync           : Hits:4
    UseCount           : 0
    Hits               : 4

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@cetelem.solution.weborama[2].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:4
    Value              : Cookie:administrateur@cetelem.solution.weborama.fr/
    Expires            : 06-01-2009 19:12:34
    LastSync           : Hits:4
    UseCount           : 0
    Hits               : 4

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@mediaplex[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:administrateur@mediaplex.com/
    Expires            : 07-11-2011 06:45:10
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@weborama[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:administrateur@weborama.fr/
    Expires            : 07-11-2010 19:12:34
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

 Tracking Cookie Object Recognized:
    Type               : IECache Entry
    Data               : administrateur@apmebf[1].txt
    TAC Index          : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:administrateur@apmebf.com/
    Expires            : 07-11-2010 19:12:02
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New Critical Objects: 10
Objects found so far: 16



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk scan result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New Critical Objects: 0
Objects found so far: 16


Scanning Hosts file...
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New Critical Objects:0
Objects found so far: 16




Performing conditional scans..
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New Critical Objects: 0
Objects found so far: 16

19:58:10 Scan Complete

Summary of this scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:01:11.281
Objects scanned:95720
Objects identified:10
Objects ignored:0
New Critical Objects:10


On peut apercevoir les cookies qui apparaissent lors de l'ouverture de IE.

jorginho67 · Answer

Arfffff...

bon, Adaware n'est plus ce que c'était... de plus ta version date... Using definitions file:SE1R125 06.10.2006 

On hausse d'un ton :

Sauvegarde  ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Clic droit sur le bureau => nouveau doccument => doccument texte et copi/colle ces instructions que tu porras consulter  pour faire la manip' correctement !

* Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
S'il manque le fichier COMCTL32.OCX, tu pourras le télécharger ici

C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celle-ci.

* Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

 * Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

* Si des malwares ont été détectés, leur liste s'affiche.

Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
 /!\ (a faire impérativement sous peine de recommencer le scan) /!\  , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.


MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse 

Tutoriel
Un autre  si tu as besoin d'aide.

jorginho67 · Answer

Ok, on va voir ou ça en est !

relance MBAM

* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

* Si des malwares ont été détectés, leur liste s'affiche.

Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.


MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse

jorginho67 · Answer

repasse un coup de CCleaner et dis moi ou ça en est ton soucis de coockies

Le queniau · Answer

Bon toujours le même problème avec les cookies. Cette semaine un ami devrait me prêter son cd windows. Je vais faire plusieurs tests durant la semaine. Je vais aussi réinstaller XP sur mon ancien disque et je verrai si durant la semaine je constate un comportement suspect de mon PC car pour l'instant les différents anti-virus que j'ai ne détectent plus rien ! A voir donc.
Merci pour ton coup de main.

Le queniau · Answer

Toujours pas de solution en vue ! En fait si je fais une nouvelle installation avec un formatage et que je n'installe pas de connexion internet je suis toujours infecté. Malgré tout mes anti-virus, je n'arrive pas a éradiqué ce trojan à la base et par conséquent je ne fais que nettoyer la surface ! Que faire ?

jorginho67 · Answer

Salut !

J'avoue, là je sèche...

Ce que je trouve bizarre c'est qu'on ne voir nulle part ces " KEYFINDER.EXE" ou "SYSDM.EXE "

Tu peut me faire un scan en ligne, mais cette fois avec Bitdefender ?

* Fais un scan antivirus en ligne https://www.bitdefender.fr/ sous  Internet Explorer et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

jorginho67 · Answer

Le rapport n'est pas complet, mais là, je ne vois rien de spécial...

A part que tu n'as pas d'antivirus...

Télécharge AVIRA Antivir si tu veux l'esssayer sur le lien suivant.
https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html

Installe ANTIVIR...
TUTO D' installation par Malekal
Tuto D'instalation et de mise en Oeuvre
Encore un au cas ou...
Reconnecte toi, fais les mises à jours Antivir... tu seras mieux protégé !

Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.

Redémarre en mode sans échec !
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

archet9 · Answer

salut JORGINHO67
avec la bonne orthographe cette fois...

jorginho67 · Answer

Bon, après quelques recherches, calc.exe  c'est  la calculatrice Windows... ;-(

Ou en sont tes soucis ?
Avec tes réinstallations, j'ai un peu perdu le fil lol...

As tu toujours tes soucis du post initial ?

Je pense que ça a un rapport avec ie6

jorginho67 · Answer

Keyfinder.
C'est toi qui l'a installé ? 
il s’agit d’un petit programme gratuit capable de récupérer, dans la base de registre du système d’exploitation, les clés d’installation de Windows et de la suite bureautique Office.

On va essayer de le virer, et si tu en as besoin, tu pourras le re- télécharger.

• Télécharge OTMoveIt3 de OldTimer
http://oldtimer.geekstogo.com/OTMoveIt3.exe

* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

:files
C:\windows\System32\Keyfinder.exe
:commands
[emptytemp]
[Reboot]

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)

==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

* Ferme OTMoveIt3 (en cliquant sur Exit)


Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. 
Clique alors sur "Yes" pour accepter...

noctambule28 · Answer

Salut les gars 

J'ai eu ce soucis avec calc.exe sur un topic, je sias plus quand ..........je mettrais bien cause la version ultimate^^
https://www.bleepingcomputer.com/startups/calc.exe-21370.html

Je commencerais bien par le virer ( je te filerai un boulier pendant ce temps là )

Et de voir ce qu'il en est ensuite.

Un RsIT ou diaghelp ou zhpdiag car hjt, c'est plus assez puissant.

jorginho67 · Answer

Re,
Peut être une piste :
Je n'ai pas regardé au bon endroit...

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
comment demarrer en mode sans echec en images
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

Tuto d'instalation et de mise en oeuvre

ps) Merci Claude et Noct' pour les coups de pouces ;-)

jorginho67 · Answer

Hello les gens.
Merci du coup de pouce ;-)

C'est le soucis... sa version est une version " modifiée " [nltide3], ( rien de méchant ), faut juste  savoir si elle accepte la console de récup'.

Mais j'avoue que là, je sèche un peu... 
pas trop mon fort les Bios, Dos, etc...

Le queniau · Answer

Peut-être le bout du tunnel !

Un ami vient de me prêter un XP et apparemment il n'y aurait pas de problème apparent avec. Si je réinstalle à partir du mien, Nod32 me trouve une infection et dans le dossier "Administrateur" j'ai toujours 4 fichiers texte qui apparaissent dont le nom est du style "dd_netfx20MSI4F25.txt" et j'ai un dossier "Nodtmpb". Il y a 2 semaines lors d'une installation il y a avait deux dossiers "Administrateur". Donc peut-être un problème avec mon XP. Par contre cela fait 3 ans que je tourne avec sans avoir de souci...

noctambule28 · Answer

Il exploitait peut etre des failles que les antivirus commence à contrer ( c'est le risque avec les xp exotique)

Je serais toi , j'abanadonnerai ultimate........et j'avais raison , gnagnagna ;)))

noctambule28 · Answer

Salut

Si j'ai bien compris , c'est nod32 qui réagit à chaque fois que tu installes ?

Il se pourrait qu'il voit un faut positif.Et ça te fait penser à une infection ( probleme des version exotique).

Passe toi d'antivirus un temps , mais pas de pare feu, et envoies un scan en ligne avec kasperky ou bitdefender en ligne.

D'autre part , je sais pas ou en est ton calc.exe, mais va faire un tour sur virus-total
https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : 
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

@
--.
L'humour est la clé de voûte de la conscience

Le queniau · Answer

Pour les nouvelles !
Mise à jour du bios, changement de Ram, installation d'un nouvelle XP et AVG est en train de me trouver de nouvelles infections (Worm/autoit.DMV, Trojan horse Generic 3.EBY, ObFustast.SRE)! Si j'installe mon ancien XP qui après la mise à jour du bios refusait de s'installer avec un Trap 000000005 ___ EXCEPTION... mais accepta après un changement de Ram, NOD32 me trouve toujours les mêmes fichiers infectés malgré un formatage avant installation. Si j'installe un SP3 j'ai un stop 0x0000007B... 
Donc pas de solution pour l'instant. Je vais la semaine prochaine passer mon PC à un collègue pour voir si avec son environnement, sa façon de procéder, ses CDs et ses logiciels s'il arrive à la même conclusion ou pas.
A suivre donc !

jorginho67 · Answer

Re...

Bizarre...


J'ai entendu quelque part qu'ily avait eu sur le marché des DD neufs infectés, mais tu dis que ça fait pas mal de temps que tu les as et sans soucis....

Tu peux me refaire un scan HJT et me poster le rapport ? ( quand tu le pourras )

Claude Lachance · Answer

Salut Le Queniau

Il y a un problème avec AVG (que je n'ai jamais aimé) en ce moment:
http://news.cnet.com/8301-1009_3-10093875-83.html

Ne serait-ce pas simplement ce qui t'arrive ?
As-tu essayé avec un autre antivirus, genre Antivir ?

jorginho67 · Answer

Re,

O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe 

il n'y etait pas ...

Relance Hijackthis
-Clique sur « do a system scan only »
-Coche cette ligne :
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
-Et clique sur « Fix Checked »

PUIS 

• Télécharge OTMoveIt3 de OldTimer
http://oldtimer.geekstogo.com/OTMoveIt3.exe

* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

:files
C:\WINDOWS\system32\avpo.exe
:commands
[emptytemp]
[Reboot]

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)

==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

* Ferme OTMoveIt3 (en cliquant sur Exit)


Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. 
Clique alors sur "Yes" pour accepter...

Dis moi si tu as toujours l'alerte.

Le queniau · Answer

Dernières nouvelles (non pas d'alsace) !
Mon collège à réalisé une installation complète avec une version d'XP un peu différentes : pour l'instant je n'ai pas de soucis. Nod32 ne trouve rien pour l'instant. 

Voici le dernier rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:19, on 01/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32	opdesk.exe
C:\Program Files\Nod32
od32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\TweakRAM\TweakRAM.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Nod32
od32krn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32	opdesk.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Nod32
od32krn.exe

Par contre lorsque j'ai rebranché mon DD document Nod32l m'a trouvé des trojans et cheval de troie qu'il a correctement nettoyé.
En conclusion : pour l'instant tout semble redevenir normal. Merci à tous de votre aide même si  cette attaque me laisse tout comme vous plutôt perplexe !

jorginho67 · Answer

Hello !

Le rapport est propre, a part quelques services inutiles au démarage du pc, rien de méchant.

Par contre lorsque j'ai rebranché mon DD document  en Externe ?

 si tu désinfectes ton Pc mais pas tes périphériques - clé USB, DD externe,tout périphérique qui se connecte sur ton PC, etc...cela se relance.. (surtout, ne pas faire double-clic pour l'ouvrir !!)

Tu peux  faire ceci dans un 1er temps

Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX

Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus
• Clique droit sur le fichier .ZIP => Extraire sur => le Bureau
• Doucle clic sur >> RAV.exe  afin de lancer l'outil.
• Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
• Si infection il y à,  un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain .
• Retire tes disques amovibles et redémarre ton ordinateur .
Poste le rapport , si infection!

C'est toi qui voit ;-))

jorginho67 · Answer

Ok, je pensais qu'il etait en externe.

TROJAN-DROPPER.win32.agent.tor!A2 - Page 3

Discussions similaires

Newsletters