Sujet Précédent Sujet Suivant

Virus TrojanAide pour la lecture du Rapports

COUCOU -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Je suis infectée d'un virus Trojan Small depuis un ou deux mois, qui est devenu un Trojan Agent et un Trojan Fraudload.
pourriez vous m'aider pour la lecture du rapport de Clamwin et trojan remover qui m'ont detectés de nombreux problemes, mais n'a pas pu renommer ou detruire certains fichiers suspects.D’autres part, certains ne sont pas ouvrables et supprimables.

Que faut il faire pour s'en debarasser?
J'ai sur mon PC Spybot Search and Destroy mais il ne detecte plus rien. Meme chose pour AVG antispyware.

Je vous fournit les rapports Clamwin, (que j’ai depuis plus longtemps que Trojan remover, car c’est mon anti virus de base) par ordre antéchronologique:

MERCI BEAUCOUP DE VOTRE AIDE

Scan Started Sun Nov 09 18:15:09 2008
-------------------------------------------------------------------------------

C:\Documents and Settings\Célia Ukkola\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat: Permission denied
C:\Documents and Settings\Célia Ukkola\NTUSER.DAT: Permission denied
C:\Documents and Settings\Jorma Ukkola\Mes documents\desktop.ini: Permission denied
C:\Documents and Settings\Jorma Ukkola\ntuser.ini: Permission denied
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat: Permission denied
C:\Documents and Settings\LocalService\NTUSER.DAT: Permission denied
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat: Permission denied
C:\Documents and Settings\NetworkService\NTUSER.DAT: Permission denied
C:\hiberfil.sys: Permission denied
C:\pagefile.sys: Permission denied
C:\WINDOWS\system32\config\DEFAULT: Permission denied
C:\WINDOWS\system32\config\SAM: Permission denied
C:\WINDOWS\system32\config\SECURITY: Permission denied
C:\WINDOWS\system32\config\SOFTWARE: Permission denied
C:\WINDOWS\system32\config\SYSTEM: Permission denied
C:\WINDOWS\system32\tdssmain.dll.vir: Removed
C:\WINDOWS\system32\tdssserf.dll: Removed

C:\WINDOWS\system32\tdssmain.dll.vir: Trojan.Agent-55447 FOUND
C:\WINDOWS\system32\tdssserf.dll: Trojan.Fraudload-1386 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 456271
Engine version: 0.94
Scanned directories: 6009
Scanned files: 55119
Infected files: 2

Data scanned: 23462.77 MB
Time: 11609.005 sec (193 m 29 s)
--------------------------------------
Completed
--------------------------------------

Scan Started Wed Oct 01 20:11:10 2008

-------------------------------------------------------------------------------

C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DF20AC.tmp: Permission denied

C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DFDD97.tmp: Permission denied

C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DFDDA7.tmp: Permission denied

C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~WRS0001.tmp: Permission denied

C:\Documents and Settings\Jorma Ukkola\Mes documents\desktop.ini: Permission denied

C:\Documents and Settings\Jorma Ukkola\ntuser.ini: Permission denied

C:\hiberfil.sys: Permission denied

C:\pagefile.sys: Permission denied

C:\WINDOWS\system32\config\DEFAULT: Permission denied

C:\WINDOWS\system32\config\SAM: Permission denied

C:\WINDOWS\system32\config\SECURITY: Permission denied

C:\WINDOWS\system32\config\SOFTWARE: Permission denied

C:\WINDOWS\system32\config\SYSTEM: Permission denied

----------- SCAN SUMMARY -----------

Known viruses: 432342

Engine version: 0.94

Scan Started Sun Sep 28 22:52:57 2008
------------------------------------------------------------------------------- C:\Documents and Settings\Célia Ukkola\Local Settings\Temporary Internet Files\Content.IE5\EXPV91R3\pipo[1]: Trojan.Small-8579 FOUND
C:\Documents and Settings\Célia Ukkola\Mes documents\Mes images\codecs+lecteurs\BsPlayer.1.32.Build.820.Incl.KeyMaker[www.ToroBT.Com.Ar]\Keygen.by.Again.exe: Trojan.OnlineGames-1517 FOUND
C:\WINDOWS\AdobeR.exe: Worm.Rjump-1 FOUND
C:\WINDOWS\system32\drivers\svchost.exe: Trojan.Small-8579 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 432322
Engine version: 0.93.1
Scanned directories: 5284
Scanned files: 50309
Infected files: 4

Scan Started Mon Jul 28 10:32:55 2008

-------------------------------------------------------------------------------

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DF2DCA.tmp, Permission denied

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DF3A70.tmp, Permission denied

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DF598F.tmp, Permission denied

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DF5ECB.tmp, Permission denied

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DF6418.tmp, Permission denied

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~DF642B.tmp, Permission denied

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~WRS0010.tmp, Permission denied

WARNING: Can't open file \\?\C:\Documents and Settings\Célia Ukkola\Local Settings\Temp\~WRS3785.tmp, Permission denied

WARNING: Can't open file \\?\C:\hiberfil.sys, Permission denied

WARNING: Can't open file \\?\C:\pagefile.sys, Permission denied

----------- SCAN SUMMARY -----------

Known viruses: 346238

Engine version: 0.92

Scanned directories: 4780

Scanned files: 42647

Skipped non-executable files: 2038

VOICI UNE PARTIE DU RAPPORT DE TROJAN REMOVER, JE L’AI ABREGE PARCE QU IL NE FAISAIT PAS MOINS DE 100 PAGES SOUS WORD !!!

j’espere que quelqu’un aura le courage et la bonne ame de m’aider car je n’ai personne susceptible de m’aider dans mon entourage ;

***** NORMAL SCAN FOR ACTIVE MALWARE *****
Trojan Remover Ver 6.7.3.2550. For information, email support@simplysup1.com
[Unregistered version]
Scan started at: 11:35:49 05 nov. 2008
Using Database v7178
Operating System: Windows XP SP2 [Windows XP Professional Service Pack 2 (Build 2600)]
File System: NTFS
Data directory: C:\Documents and Settings\Célia Ukkola\Application Data\Simply Super Software\Trojan Remover\
Database directory: C:\Program Files\Trojan Remover\
Logfile directory: C:\Documents and Settings\Célia Ukkola\Mes documents\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Program Files\Trojan Remover\
Running with Administrator privileges

************************************************************

************************************************************
11:35:50: Scanning ----------WIN.INI-----------
WIN.INI found in C:\WINDOWS

************************************************************
11:35:50: Scanning --------SYSTEM.INI---------
SYSTEM.INI found in C:\WINDOWS

************************************************************
11:35:50: ----- SCANNING FOR ROOTKIT SERVICES -----
Hidden Service Keyname: TDSSserv
C:\WINDOWS\system32\drivers\TDSSserv.sys appears to contain: ROOTKIT.AGENT
Entry has been scheduled for deletion when the PC is restarted
C:\WINDOWS\system32\drivers\TDSSserv.sys - no action requested on file
"SafeBoot\Minimal" registry entry for [TDSSserv.sys] removed
"SafeBoot\Network" registry entry for [TDSSserv.sys] removed
----------
----------

************************************************************
11:36:41: Scanning -----WINDOWS REGISTRY-----
--------------------
Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
--------------------
Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
This key's "Shell" value calls the following program(s):
File: Explorer.exe
C:\WINDOWS\Explorer.exe
1037312 bytes
Created: 01/01/1980
Modified: 13/06/2007
Company: Microsoft Corporation
----------
This key's "Userinit" value calls the following program(s):
File: C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\userinit.exe
25088 bytes
11:36:44: Scanning -----HIDDEN REGISTRY ENTRIES-----
T
11:36:44: Scanning -----HIDDEN REGISTRY ENTRIES-----
Taskdir check completed
----------
No Hidden File-loading Registry Entries found

J ai coupe ici un bon nombre de pages
PE386 rootkit checks completed
----------
Winlogon registry rootkit checks completed
----------
Heuristic checks for hidden files/drivers completed
----------
Layered Service Provider entries checks completed
----------
Windows Explorer Policies checks completed
----------
Checking for specific malicious files:
C:\WINDOWS\system32\drivers\TDSSserv.sys - Backdoor.Agent
C:\WINDOWS\system32\drivers\TDSSserv.sys - file ownership assigned to: PC_DE_CÉLIA\Célia Ukkola
[kill file error: C:\WINDOWS\system32\drivers\TDSSserv.sys, Le processus ne peut pas accéder au fichier car un autre processus en a verrouillé une partie.
]
C:\WINDOWS\system32\drivers\TDSSserv.sys - file backed up to C:\WINDOWS\system32\drivers\TDSSserv.sys.vir
C:\WINDOWS\system32\drivers\TDSSserv.sys - marked for renaming when the PC is restarted
C:\WINDOWS\system32\tdssadw.dll - Rootkit.Agent
C:\WINDOWS\system32\tdssadw.dll - file renamed to: C:\WINDOWS\system32\tdssadw.dll.vir
C:\WINDOWS\system32\tdssinit.dll - Rootkit.Agent
C:\WINDOWS\system32\tdssinit.dll - file renamed to: C:\WINDOWS\system32\tdssinit.dll.vir
C:\WINDOWS\system32\tdssl.dll - Rootkit.Agent
C:\WINDOWS\system32\tdssl.dll - file ownership assigned to: PC_DE_CÉLIA\Célia Ukkola
[kill file error: C:\WINDOWS\system32\tdssl.dll, Le processus ne peut pas accéder au fichier car un autre processus en a verrouillé une partie.
]
C:\WINDOWS\system32\tdssl.dll - file backed up to C:\WINDOWS\system32\tdssl.dll.vir
C:\WINDOWS\system32\tdssl.dll - marked for renaming when the PC is restarted
C:\WINDOWS\system32\tdsslog.dll - Rootkit.Agent
C:\WINDOWS\system32\tdsslog.dll - file renamed to: C:\WINDOWS\system32\tdsslog.dll.vir
C:\WINDOWS\system32\tdssmain.dll - Rootkit.Agent
C:\WINDOWS\system32\tdssmain.dll - file renamed to: C:\WINDOWS\system32\tdssmain.dll.vir
C:\WINDOWS\system32\tdssserf1.dll - Trojan.FakeAlert
C:\WINDOWS\system32\tdssserf1.dll - file renamed to: C:\WINDOWS\system32\tdssserf1.dll.vir
----------
Desktop Wallpaper: C:\Documents and Settings\Célia Ukkola\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
C:\Documents and Settings\Célia Ukkola\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
1440054 bytes
Created: 07/08/2005
Modified: 19/10/2008
Company:
----------
Web Desktop Wallpaper: %USERPROFILE%\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
C:\Documents and Settings\Célia Ukkola\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
1440054 bytes
Created: 07/08/2005
Modified: 19/10/2008
Company:
----------
Additional checks completed

************************************************************
11:37:31: Scanning ----- RUNNING PROCESSES -----

C:\WINDOWS\System32\smss.exe
[1 loaded module]
--------------------
C:\WINDOWS\system32\csrss.exe
[15 loaded modules in total]
--------------------
C:\WINDOWS\system32\winlogon.exe
[67 loaded modules in total]
--------------------
C:\WINDOWS\system32\services.exe
[36 loaded modules in total]
--------------------
C:\WINDOWS\system32\lsass.exe
[63 loaded modules in total]
--------------------
C:\WINDOWS\System32\ibmpmsvc.exe - file already scanned
[21 loaded modules in total]
--------------------
C:\WINDOWS\system32\svchost.exe
[54 loaded modules in total]
--------------------
C:\WINDOWS\system32\svchost.exe - file already scanned
[42 loaded modules in total]
--------------------
C:\WINDOWS\System32\svchost.exe - file already scanned
[156 loaded modules in total]
--------------------
C:\WINDOWS\system32\S24EvMon.exe - file already scanned
[23 loaded modules in total]
--------------------
C:\WINDOWS\System32\svchost.exe - file already scanned
[30 loaded modules in total]
--------------------
C:\WINDOWS\System32\svchost.exe - file already scanned
[42 loaded modules in total]
--------------------
C:\WINDOWS\system32\spoolsv.exe
[61 loaded modules in total]
--------------------
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe - file already scanned
[31 loaded modules in total]
--------------------
C:\WINDOWS\Explorer.EXE - file already scanned
[127 loaded modules in total]
--------------------
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe - file already scanned
[35 loaded modules in total]
--------------------
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE - file already scanned
[30 loaded modules in total]
--------------------
C:\WINDOWS\System32\svchost.exe - file already scanned
[41 loaded modules in total]
--------------------
C:\WINDOWS\system32\TpKmpSVC.exe - file already scanned
[21 loaded modules in total]
--------------------
C:\WINDOWS\system32\igfxtray.exe - file already scanned
[33 loaded modules in total]
--------------------
C:\WINDOWS\system32\hkcmd.exe - file already scanned
[33 loaded modules in total]
--------------------
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe - file already scanned
[51 loaded modules in total]
--------------------
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe - file already scanned
[29 loaded modules in total]
--------------------
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
[26 loaded modules in total]
--------------------
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
[27 loaded modules in total]
--------------------
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe - file already scanned
[49 loaded modules in total]
--------------------
C:\IBMTOOLS\UTILS\ibmprc.exe - file already scanned
[23 loaded modules in total]
--------------------
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE - file already scanned
[70 loaded modules in total]
--------------------
C:\WINDOWS\system32\RunDll32.exe
[38 loaded modules in total]
--------------------
C:\WINDOWS\system32\rundll32.exe
[38 loaded modules in total]
--------------------
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe - file already scanned
[28 loaded modules in total]
--------------------
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe - file already scanned
[79 loaded modules in total]
--------------------
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe - file already scanned
[23 loaded modules in total]
--------------------
C:\WINDOWS\system32\ctfmon.exe - file already scanned
[32 loaded modules in total]
--------------------
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe - file already scanned
[37 loaded modules in total]
--------------------
C:\Program Files\Digital Line Detect\DLG.exe
[28 loaded modules in total]
--------------------
C:\Program Files\Canon\CAL\CALMAIN.exe - file already scanned
[35 loaded modules in total]
--------------------
C:\WINDOWS\System32\alg.exe
[38 loaded modules in total]
--------------------
C:\WINDOWS\system32\1XConfig.exe
[39 loaded modules in total]
--------------------
C:\WINDOWS\system32\wuauclt.exe
[38 loaded modules in total]
--------------------
D:\trsetup.exe
[26 loaded modules in total]
--------------------
C:\DOCUME~1\CLIAUK~1\LOCALS~1\Temp\is-7EFN1.tmp\trsetup.tmp
[47 loaded modules in total]
--------------------
C:\Program Files\Trojan Remover\trupd.exe
[52 loaded modules in total]
--------------------
C:\Documents and Settings\Célia Ukkola\Application Data\Simply Super Software\Trojan Remover\thr5.exe
FileSize: 2618232
[This is a Trojan Remover component]
[32 loaded modules in total]
--------------------

************************************************************
11:38:18: Checking AUTOEXEC.BAT file
AUTOEXEC.BAT found in C:\
No malicious entries were found in the AUTOEXEC.BAT file

************************************************************
11:38:18: Checking AUTOEXEC.NT file
AUTOEXEC.NT found in C:\WINDOWS\system32
No malicious entries were found in the AUTOEXEC.NT file

************************************************************
11:38:18: Checking HOSTS file
No malicious entries were found in the HOSTS file

************************************************************
11:38:18: Scanning ------ %TEMP% DIRECTORY ------
************************************************************
11:38:19: Scanning ------ C:\WINDOWS\Temp DIRECTORY ------
No files found to scan
************************************************************
11:38:19: Scanning ------ ROOT DIRECTORY ------

************************************************************
11:38:19: ------ Scan for other files to remove ------
C:\WINDOWS\system32\tdssservers.dat has been deleted
----------
1 malware-related files deleted (or marked for deletion)

************************************************************
------ INTERNET EXPLORER HOME/START/SEARCH SETTINGS ------
HKLM\Software\Microsoft\Internet Explorer\Main\"Start Page":
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKLM\Software\Microsoft\Internet Explorer\Main\"Local Page":
%SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main\"Search Page":
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main\"Default_Page_URL":
http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main\"Default_Search_URL":
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Search\"CustomizeSearch":
https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
HKLM\Software\Microsoft\Internet Explorer\Search\"SearchAssistant":
http://www.google.com/toolbar/ie8/sidebar.html
HKCU\Software\Microsoft\Internet Explorer\Main\"Start Page":
WWW.GOOGLE.FR
HKCU\Software\Microsoft\Internet Explorer\Main\"Local Page":
C:\WINDOWS\system32\blank.htm
HKCU\Software\Microsoft\Internet Explorer\Main\"Search Page":
https://www.google.com/?gws_rd=ssl

************************************************************
=== CHANGES WERE MADE TO THE WINDOWS REGISTRY ===
=== ONE OR MORE FILES WERE RENAMED OR REMOVED ===
Scan completed at: 11:38:20 05 nov. 2008
Total Scan time: 00:02:30
-------------------------------------------------------------------------
One or more files could not be moved or renamed as requested.
They may be in use by Windows, so Trojan Remover needs
to restart the system in order to deal with these files.
05/11/2008 11:38:56: restart commenced
************************************************************
A voir également:

25 réponses

Précédent
  • 1
  • 2
Réponse 21 / 25
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
utilise pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo
(dans les options puis avancé :désactive la case: effacer les fichiers de plus de 48 heures)
https://www.malekal.com/tutoriel-ccleaner/
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
____________________

advpack rundll32

n'est pas forecement un virus cela peut etre:

Wextract Cleanup0 is valid and legal software included or sold to help clean up temporary or cab files created by the installer software for a wide variety of software. It should disapear after a restart of the system. If not fix it.

dans trojan remover apparement il dit que le fichier n'existe plus:

Unable to rename C:\WINDOWS\system32\advpack.dll to C:\WINDOWS\system32\advpack.dll.vir
(C:\WINDOWS\system32\advpack.dll does not appear to exist)

_________________

pour voir: si encore present: analyse le fichier suivant sur virus total et colle le rapport:
https://www.virustotal.com/gui/

C:\WINDOWS\system32\advpack.dll

dis moi aussi tes soucis actuels
0
Réponse 22 / 25
COUCOU
 
USBFix a trouvé d'autres fichiers suspects, mais qui sont vides ! Rapport de USBFix :
[04/05/2005 03:31][--ah-----] C:\AUTOEXEC.BAT
[09/01/2005 06:54][-rahs----] C:\NTDETECT.COM
[24/05/2001 11:59][--a------] C:\UNWISE.EXE
[15/11/2008 20:56][-rahs----] C:\BOOT.INI
[09/12/2007 18:32][--a------] F:\bsplayer100.812.exe

Virustotal na rien trouvé sur advpack rundll32, mais après scan de F:\BSPlayer100.812.exe sur un disque externe on a eu deux reponses positives :

AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.18 -
AVG 8.0.0.199 2008.11.19 -
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 -
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 -
eSafe 7.0.17.0 2008.11.18 -
eTrust-Vet 31.6.6216 2008.11.19 -
Ewido 4.0 2008.11.18 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.19 -
Fortinet 3.117.0.0 2008.11.19 -
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 -
K7AntiVirus 7.10.527 2008.11.18 -
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5438 2008.11.18 -
Microsoft 1.4104 2008.11.19 -
NOD32 3623 2008.11.18 -
Norman 5.80.02 2008.11.18 -
Panda 9.0.0.4 2008.11.19 -
PCTools 4.4.2.0 2008.11.18 -
Prevx1 V2 2008.11.19 -
Rising 21.04.21.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 -
Sophos 4.35.0 2008.11.19 -
Sunbelt 3.1.1801.2 2008.11.14 Trojan-Downloader.Win32.GA (vf)
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.18 suspected of Backdoor.XiaoBird.17 (paranoid heuristics)
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.18 -

Que dois-je faire avec BSPlayer ? Merci
0
Réponse 23 / 25
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

_______________

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

_________________

remet ensuite un rapport usbfix pour voir

a plus
0
COUCOU
 
Merci encore pour les instructions; en fait apres suppression manuelle du fichier BS player qui etait suspect; les antivirus ont rien detecté.
Sinon le ToolsCleaner m'a supprimé pas mal de logiciel antivirus, il semble que cest normal.

Je me demande si cette fois c'en est vraiment fini...
En tout cas y'a deux fichier pour lesquels Clamwin et Avira m'avertissent d'un danger (et que je ne trouve pas dans le disque dur):
C:\hiberfil.sys: Permission denied
C:\pagefile.sys: Permission denied

est ce qu'ils sont vraiment dangereux, je peux m'en debarasser avec OTmoveit??

Il y a aussi pas mal de fichier(dans les Temp notamment), qui sont vide quand je les analyse avec Virustotal. Leur taillle est de 0 octets , et quand j'essaye de l'ouvrir ou le supprimer ca me dit qu'un autre l'utilisateur s'en sert.
ca fait d'ailleurs longyemps que j'ai ce type de fichier qui apparaissent et disparaissent (parfois sous mes yeux!!!) et d'autres fichiers vide qui se créent.
(ex; dans le rapport de Clamwin les fichiers du genre: C:\Documents and Settings\Célia Ukkola\Local Settings\temp\~DF8F4C.tmp: Permission denied)

Voici le rapport complet de Clamwin:


Scan Started Thu Nov 20 15:06:25 2008

-------------------------------------------------------------------------------



C:\Documents and Settings\Célia Ukkola\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat: Permission denied

C:\Documents and Settings\Célia Ukkola\Local Settings\temp\~DF8F4C.tmp: Permission denied

C:\Documents and Settings\Célia Ukkola\Local Settings\temp\~DFB0FC.tmp: Permission denied

C:\Documents and Settings\Célia Ukkola\Local Settings\temp\~WRS0000.tmp: Permission denied

C:\Documents and Settings\Célia Ukkola\NTUSER.DAT: Permission denied

C:\Documents and Settings\Jorma Ukkola\Mes documents\desktop.ini: Permission denied

C:\Documents and Settings\Jorma Ukkola\ntuser.ini: Permission denied

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat: Permission denied

C:\Documents and Settings\LocalService\NTUSER.DAT: Permission denied

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat: Permission denied

C:\Documents and Settings\NetworkService\NTUSER.DAT: Permission denied

C:\hiberfil.sys: Permission denied

C:\pagefile.sys: Permission denied

C:\WINDOWS\system32\config\DEFAULT: Permission denied

C:\WINDOWS\system32\config\SAM: Permission denied

C:\WINDOWS\system32\config\SECURITY: Permission denied

C:\WINDOWS\system32\config\SOFTWARE: Permission denied

C:\WINDOWS\system32\config\SYSTEM: Permission denied



----------- SCAN SUMMARY -----------

Known viruses: 461447

Engine version: 0.94

Scanned directories: 4775

Scanned files: 53806

Infected files: 0



Data scanned: 21980.42 MB

Time: 11027.106 sec (183 m 47 s)

--------------------------------------

Completed

--------------------------------------
0
Réponse 24 / 25
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
C:\hiberfil.sys: Permission denied
C:\pagefile.sys: Permission denied

est ce qu'ils sont vraiment dangereux

NON IL FAUT LES LAISSER c'est normal

_________________

pour les fichiers temporaires lances regulierement CCLEANER

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo
(dans les options puis avancé :désactive la case: effacer les fichiers de plus de 48 heures)
https://www.malekal.com/tutoriel-ccleaner/
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
0
COUCOU
 
Ok, merci pour l'info
0
COUCOU
 
Salut !!
j'ai refait un scan de ma clé usb et UsbFix m'indique un fichier comme suspect (analysé avec virus total): [08/01/2004 11:20][--a------] F:\FileZilla_2_2_1_setup.exe

[04/05/2005 03:31][--ah-----] C:\AUTOEXEC.BAT (fichier vide; est ce que je le supprime???)
[09/01/2005 06:54][-rahs----] C:\NTDETECT.COM
[24/05/2001 11:59][--a------] C:\UNWISE.EXE
[15/11/2008 20:56][-rahs----] C:\BOOT.INI

J'ai aussi fait un scan avec ComboFix,
Est que ce que j'ecrase les fichiers suspects ou vides avec OTmoveit ?

merci beaucoup de ton aide !!!


-------------- UsbFix V2.412 ---------------

* User : C‚lia Ukkola - PC_DE_CLIA
* Outils mis a jours le 22/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 19:35:15 le 22/11/2008
* Windows Xp - Internet Explorer 7.0.5730.11


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\DOCUME~1\CLIAUK~1\LOCALS~1\Temp\1.tmp\b2e.exe
C:\WINDOWS\system32\igfxtray.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\IBMTOOLS\Python22\python.exe
C:\WINDOWS\System32\svchost.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur de CD-ROM

E: - Lecteur fixe

F: - Lecteur amovible


+- Contenu de l'autorun : C:\autorun.inf



+- Contenu de l'autorun : E:\autorun.inf



+- Contenu de l'autorun : F:\autorun.inf



--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[04/05/2005 03:31][--ah-----] C:\AUTOEXEC.BAT
[09/01/2005 06:54][-rahs----] C:\NTDETECT.COM
[24/05/2001 11:59][--a------] C:\UNWISE.EXE
[15/11/2008 20:56][-rahs----] C:\BOOT.INI
[19/11/2008 09:41][d--h-----] C:\autorun.inf
[09/01/2005 07:43][--ah-----] C:\BOOTLOG.TXT
[09/01/2005 07:43][--ah-----] C:\caisslog.txt
[09/01/2005 07:43][--ah-----] C:\LOGFILE.txt
[09/01/2005 07:43][--ah-----] C:\TCleaner.txt
[09/01/2005 07:43][--ah-----] C:\UsbFix.txt
[04/05/2005 03:31][--ah-----] C:\CONFIG.SYS
[04/05/2005 03:31][--ah-----] C:\hiberfil.sys
[04/05/2005 03:31][--ah-----] C:\IO.SYS
[04/05/2005 03:31][--ah-----] C:\MSDOS.SYS
[04/05/2005 03:31][--ah-----] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur de CD-ROM


+- Listing des fichiers présents :


--------------- [ Lecteur E ] ----------------

E: - Lecteur fixe


+- Listing des fichiers présents :

[19/11/2008 09:41][d--h-----] E:\autorun.inf

--------------- [ Lecteur F ] ----------------

F: - Lecteur amovible


+- Listing des fichiers présents :

[08/01/2004 11:20][--a------] F:\FileZilla_2_2_1_setup.exe
[13/11/2008 23:05][d--h-----] F:\autorun.inf

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
ibmmessages=C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
ClamWin="C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

S3TRAY2=S3Tray2.exe
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
TPKMAPHELPER=C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
TPHOTKEY=C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
EZEJMNAP=C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
UC_Start=C:\Program Files\IBM\Updater\\ucstartup.exe
UpdateManager="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
ibmmessages=C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
IBMPRC=C:\IBMTOOLS\UTILS\ibmprc.exe
QCWLICON=C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
BMMGAG=RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
BMMLREF=C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
BMMMONWND=rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
LXCFCATS=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
ClamWin="C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
!AVG Anti-Spyware="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
TrojanScanner=C:\Program Files\Trojan Remover\Trjscan.exe /boot
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - [22/11/2008 19:35] C:\autorun.inf
Echec de la supression !! - [22/11/2008 19:35] C:\autorun.inf
Supprimé ! - [22/11/2008 19:35][d--------] C:\autorun.inf
Echec de la supression !! - [22/11/2008 19:36] E:\autorun.inf
Echec de la supression !! - [22/11/2008 19:36] E:\autorun.inf
Supprimé ! - [22/11/2008 19:36][d--------] E:\autorun.inf
Echec de la supression !! - [13/11/2008 23:05] F:\autorun.inf
Echec de la supression !! - [13/11/2008 23:05] F:\autorun.inf
Supprimé ! - [13/11/2008 23:05][d--------] F:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[04/05/2005 03:31][--ah-----] C:\AUTOEXEC.BAT
[09/01/2005 06:54][-rahs----] C:\NTDETECT.COM
[24/05/2001 11:59][--a------] C:\UNWISE.EXE
[15/11/2008 20:56][-rahs----] C:\BOOT.INI
[08/01/2004 11:20][--a------] F:\FileZilla_2_2_1_setup.exe

--------------- ! Fin du rapport ! ----------------


ComboFix 08-11-22.02 - Célia Ukkola 2008-11-23 20:17:30.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.383 [GMT 1:00]
Lancé depuis: c:\documents and settings\Célia Ukkola\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\rnaph.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-23 au 2008-11-23 ))))))))))))))))))))))))))))))))))))
.

2008-11-23 20:26 . 2008-11-23 20:26 4,474 --a------ c:\windows\GATHER.KM
2008-11-22 19:30 . 2008-11-22 19:36 <REP> d-------- c:\program files\UsbFix
2008-11-19 17:49 . 2008-11-19 17:49 <REP> d--h----- c:\windows\msdownld.tmp
2008-11-18 21:48 . 2008-11-18 21:48 <REP> d-------- c:\program files\CCleaner
2008-11-17 09:36 . 2008-11-17 09:36 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-17 09:36 . 2008-11-17 09:36 <REP> d-------- c:\documents and settings\Célia Ukkola\Application Data\Malwarebytes
2008-11-17 09:36 . 2008-11-17 09:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-17 09:36 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-17 09:36 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-14 20:21 . 2008-11-19 17:49 <REP> d-------- c:\windows\system32\fr-fr
2008-11-14 20:09 . 2008-10-03 18:12 6,066,176 --------- c:\windows\system32\dllcache\ieframe.dll
2008-11-14 20:09 . 2007-04-17 10:32 2,455,488 --------- c:\windows\system32\dllcache\ieapfltr.dat
2008-11-14 20:09 . 2007-03-08 06:10 1,048,576 --------- c:\windows\system32\dllcache\ieframe.dll.mui
2008-11-14 20:09 . 2008-08-26 09:11 459,264 --------- c:\windows\system32\dllcache\msfeeds.dll
2008-11-14 20:09 . 2008-08-26 09:11 383,488 --------- c:\windows\system32\dllcache\ieapfltr.dll
2008-11-14 20:09 . 2008-08-26 09:11 267,776 --------- c:\windows\system32\dllcache\iertutil.dll
2008-11-14 20:09 . 2008-08-26 09:11 63,488 --------- c:\windows\system32\dllcache\icardie.dll
2008-11-14 20:09 . 2008-08-26 09:11 52,224 --------- c:\windows\system32\dllcache\msfeedsbs.dll
2008-11-14 20:09 . 2008-08-25 09:38 13,824 --------- c:\windows\system32\dllcache\ieudinit.exe
2008-11-14 20:06 . 2008-11-14 20:07 <REP> d-------- C:\ef1d66f902976b4f586c5198906515d6
2008-11-14 13:55 . 2008-11-14 13:55 <REP> d-------- c:\program files\Avira
2008-11-14 13:55 . 2008-11-14 13:55 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2008-11-13 22:31 . 2008-11-13 22:31 <REP> d-------- c:\program files\trend micro
2008-11-13 22:08 . 2008-11-21 09:20 <REP> d-------- c:\windows\ERUNT
2008-11-13 22:08 . 2008-11-13 22:24 <REP> d-------- C:\Backups
2008-11-09 18:12 . 2008-11-09 18:12 <REP> d-------- c:\documents and settings\Célia Ukkola\.clamwin
2008-11-09 18:12 . 2008-11-09 18:12 <REP> d-------- c:\documents and settings\Célia Ukkola\.clamwin
2008-11-09 17:58 . 2008-11-09 17:58 210,055 --a------ C:\eG7
2008-11-05 11:35 . 2008-11-20 15:02 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2008-11-05 11:33 . 2008-11-05 11:33 <REP> d-------- c:\program files\Trojan Remover
2008-11-05 11:33 . 2008-11-05 11:33 <REP> d-------- c:\documents and settings\Célia Ukkola\Application Data\Simply Super Software
2008-11-05 11:33 . 2008-11-05 11:33 <REP> d-------- c:\documents and settings\All Users\Application Data\Simply Super Software
2008-11-05 11:33 . 2006-05-25 15:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2008-11-05 11:33 . 2003-02-02 20:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2008-11-05 11:33 . 2005-08-26 01:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2008-11-05 11:33 . 2002-03-06 01:00 75,264 --a------ c:\windows\system32\unacev2.dll
2008-11-05 11:33 . 2006-06-19 13:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2008-11-05 10:36 . 2008-11-05 11:03 <REP> d-------- c:\windows\system32\CatRoot_bak
2008-11-05 10:34 . 2008-08-14 10:51 138,368 --------- c:\windows\system32\dllcache\afd.sys
2008-11-05 10:29 . 2008-05-01 15:31 331,776 --------- c:\windows\system32\dllcache\msadce.dll
2008-11-02 15:17 . 2008-11-02 15:18 216,670 --a------ C:\eG6
2008-10-26 20:27 . 2008-10-26 20:28 205,938 --a------ C:\eG5

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-23 18:30 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-23 18:27 --------- d-----w c:\program files\Lx_cats
2008-11-20 13:54 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-20 09:17 --------- d-----w c:\program files\Fichiers communs\Real
2008-11-15 13:37 --------- d-----w c:\program files\IHMC CmapTools
2008-11-09 17:12 --------- d-----w c:\program files\ClamWin
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 15:39 0 ----a-w c:\program files\fr_Win_xp_pro_w_sp2.sdc
2008-10-02 11:37 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-10-02 08:34 --------- d-----w c:\program files\Uniblue
2008-10-01 14:28 --------- d-----w c:\documents and settings\All Users\Application Data\avg7
2008-10-01 14:27 --------- d-----w c:\documents and settings\All Users\Application Data\Grisoft
2008-10-01 13:40 90,112 ----a-w c:\windows\DUMP3208.tmp
2008-10-01 13:39 90,112 ----a-w c:\windows\DUMP3226.tmp
2008-10-01 12:23 --------- d-----w c:\documents and settings\Célia Ukkola\Application Data\AVG7
2008-10-01 11:21 --------- d-----w c:\documents and settings\LocalService\Application Data\AVG7
2008-09-29 20:06 --------- d-----w c:\documents and settings\Célia Ukkola\Application Data\Grisoft
2008-09-29 11:07 --------- d-----w c:\documents and settings\Célia Ukkola\Application Data\MSN6
2006-03-02 17:30 28,440 -c--a-w c:\documents and settings\Célia Ukkola\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
"ibmmessages"="c:\program files\IBM\Messages By IBM\ibmmessages.exe" [2004-08-06 442368]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2008-09-05 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-07-30 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-07-30 118784]
"TPKMAPHELPER"="c:\program files\ThinkPad\Utilities\TpKmapAp.exe" [2004-02-05 897024]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2004-08-07 94208]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2003-12-25 208896]
"UC_Start"="c:\program files\IBM\Updater\\ucstartup.exe" [2004-06-25 36864]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"ibmmessages"="c:\program files\IBM\Messages By IBM\\ibmmessages.exe" [2004-08-06 442368]
"IBMPRC"="c:\ibmtools\UTILS\ibmprc.exe" [2004-03-19 90112]
"QCWLICON"="c:\program files\ThinkPad\ConnectUtilities\QCWLICON.EXE" [2004-08-18 81920]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2004-07-29 110592]
"BMMLREF"="c:\program files\ThinkPad\Utilities\BMMLREF.EXE" [2004-07-29 20480]
"BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2004-07-29 397824]
"LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2008-09-05 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2008-10-25 968072]
"S3TRAY2"="S3Tray2.exe" [2001-10-12 c:\windows\system32\S3Tray2.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-20 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2005-01-09 24576]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2004-08-18 11:30 258048 c:\windows\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
Notification Packages REG_MULTI_SZ scecli pwdmon

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TP4EX]
--a------ 2002-09-04 09:05 53248 c:\windows\system32\TP4EX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrackPointSrv]
--a------ 2003-11-13 11:12 94208 c:\windows\system32\tp4serv.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\IBM\\Updater\\jre\\bin\\javaw.exe"=
"%ProgramFiles%\\IBM\\Updater\\jre\\bin\\java.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IBM\\Updater\\jre\\bin\\java.exe"=
"c:\\Program Files\\IBM\\Updater\\jre\\bin\\javaw.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\IBM\\Updater\\ucsmb.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13319:TCP"= 13319:TCP:NortonAV

R1 ANC;ANC;c:\windows\system32\drivers\ANC.SYS [2005-01-09 11520]
R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.SYS [2005-01-09 2432]
R1 TPPWR;TPPWR;c:\windows\system32\drivers\Tppwr.sys [2005-01-09 16384]
R2 ibmfilter;ibmfilter;\??\c:\windows\system32\drivers\ibmfilter.sys [2004-09-24 64256]
R3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\DRIVERS\tp4track.sys [1980-01-01 13904]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\DRIVERS\LTSM.sys [2003-02-25 802683]
S3 QCNDISIF;QCNDISIF;c:\windows\system32\drivers\qcndisif.SYS [2005-01-09 12288]
.
Contenu du dossier 'Tâches planifiées'

2005-06-02 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2004-07-29 09:37]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Célia Ukkola\Application Data\Mozilla\Firefox\Profiles\h4xqw0xv.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-23 20:25:20
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\rsaenh.dll
c:\windows\system32\WgaLogon.dll

- - - - - - - > 'lsass.exe'(960)
c:\windows\system32\msprivs.dll
c:\windows\system32\rsaenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\S24EvMon.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\program files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\TpKmpSvc.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\program files\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
c:\program files\ThinkPad\Utilities\EzEjMnAp.Exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\program files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
c:\program files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
.
**************************************************************************
.
Heure de fin: 2008-11-23 20:30:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-23 19:30:32

Avant-CF: 8 084 418 560 octets libres
Après-CF: 8,078,835,712 octets libres

202 --- E O F --- 2008-11-20 18:01:25
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 25
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
non tu laisse car comme tu peux voir il ont été crées en 2005/2005 donc pas infectieux probablement

tu as dù brancher ta clé sur un autre ordi qui doit etre infecté et sur lequel il faut que tu lance RAV antivirus et usbfix car sinon ta clé sera de nouveau infectée
0

Discussions similaires

Message "Un bloqueur de publicité empêche la lecture..."
pistouri -
pistouri -

0 réponse
comment desactiver un bloqueur de pub
amour10 -
MPMP10 -

4 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Erreur de lecture sur iptv smarters
Bogs -
bazfile -

1 réponse
Erreur de lecture des tv film et series sur mon appli iptv smarters pro
Constantenzostanley -
glandu -

1 réponse