[Résolu] Trojan Win32Agent-VM

[Le sioux]

Bonjour,

Tout comme dans ce sujet http://forum.zebulon.fr/index.php?showtopic=104857 et ce sujet http://forum.zebulon.fr/index.php?showtopic=104798 , le pc d'une amie se trouve infecté par Trojan Win32

Elle a tout d'abord mis en quarantaine par 5 fois le dossier C:\Documents and Settings\x\Local Settings\Temp\ »numero aléatoire »exmodul.32d.4.exe signalé par Avast.

L'avant dernière suppression a été faite en manuel.

En s'inspirant des conseils de Charles ingalls donnés a Laos69 et de bruce lee a clossus.Nous avons donc procédé comme il suit :

1 )ATF/CCleaner/EasyCleaner

2 )Fermeture connection internet et FF + HijackThis

Présence de O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w et O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} C:\WINDOWS\system32\msdxm.ocx

3 )Via IceSword outils registre nous avons été arreté O4 - HKLM\Software\Microsoft\Windows\Current version\Run\ correspondant a [.nvsvc] C:\WINDOWS\system\smss.exe /w

4 ) Suppression fichiers : C:\Windows\System\smss.exe/w et C:\Windows\System32\nvsvcd.exe

5 ) On a désactivé les restores et redémarré en mode sans echec

6 )Scan Ewido mis a jour auparavant : rien

7 ) Suppression clefs registre: HKLM\System\controlset001\services\Windows log et HKLM\System\controlset002\services\Windows log et HKLM\System\CurrentControlSet\services\Windows log

8 ) Nous avons été vérifier que Windows Log etait bien arreté et l’avons supprimé (via IceSword)

9 )Redémarrage en mode normal, réactivation de la restauration et HijackThis dont voici le log…

Logfile of HijackThis v1.99.1

Scan saved at 01:51:38, on 25/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Arovax Shield\ArovaxShield.exe

C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\svchost.exe

C:\HTJ\HijackThis.exe

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Arovax Shield\ArovaxShield.exe

C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\svchost.exe

C:\HTJ\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = famille

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Arovax Shield] C:\Program Files\Arovax Shield\ArovaxShield.exe -tray

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

 

Merci de bien vouloir nous confirmer que ça a l'air clean et que nous n'avons pas trop fait d'erreur dans notre procédure.

Merci d'avance, bonsoir

EDIT a 06h30 pas eu d'alertes depuis fin de manip..

Modifié le 27 septembre 2006 par L'indien

[Thanos]

salut

 

Oui à première vue ca a l'air clean , vous avez bien bossé

 

Petite question : pas de plantage du Teatimer de Spybot? certaines fonctions font doublon avec Arovax Shield

 

Pour vérification =>

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

si ca ne marche pas =>

 

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Poste le résultat pour voir si rien ne subsiste sur ton pc

en cas de souci, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

 

Télécharge DiagHelp.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
  
• Un nouveau dossier chercher va être créé DiagHelp
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  

@+

[Le sioux]

Bonjour,

Merci Charles Ingals pour cette réponse.

Content que l'on ai réussi a faire un peu le ménage.

Je téléphone a mon amie qu'elle fasse scans en ligne + DiagHelp.zip et nous posterons les rapports.

Merci pour le lien "jetable.org", on a http://extensions.geckozone.org/GetJetableMail/ , les autres liens pour expliquer scan en ligne lui seront tres utiles, les seuls scans ayant été fait auparavant uniquement chez Trendmicro via Firefox et tests de ports uniquements (zebulon, sygate..).

Sinon pour TeaTimer et Arovax Shield, ils s entendent bien, sont tous les 2 hypers réactifs.Parfois, ils annoncent les changements "en coeur", dans ce cas, cela fait un peu répetitif.. par contre il arrive que l'un ne voit pas ce qu'a vu l'autre et c est ce qui fait que l'on ai concervé cette association préventive. On a enlevé la surveillance du fichiers Host par Arovax, vu qu'elle est déja vérouillée via Spybot et que de plus le "roquet" de Winpatrol la surveille lors de ses rondes..les surveillances de ces 3 la se croisent un peu mais en se complémentant sans pour autant entrer en conflit, on devait faire un choix entre Winpatrol et Arovax, mais on a pas encore réussi..

Petites précisions : on a réactivé la restauration en fin de manip.Plus d'alertes d'Avast depuis le petit matin.

Merci bien. A bientot.

Bonsoir

[Thanos]

salut

 

On a enlevé la surveillance du fichiers Host par Arovax, vu qu'elle est déja vérouillée via Spybot et que de plus le "roquet" de Winpatrol la surveille lors de ses rondes

C'est bien à ca que je faisait en partie allusion Tant que le pc ne subit pas de gros ralentissements ni de plantages , ca va!

 

Je vois que vous avez déjà bien bossé on a plus qu'à attendre les rapports !

 

@+

[Le sioux]

Bonsoir,

salut

Je vois que vous avez déjà bien bossé on a plus qu'à attendre les rapports !

@+

Cool

Voila le 1er diaghelp, il est long..

C:\WINDOWS\System32\jupdate-1.5.0_08-b03.log -->25/09/200618:13:22

C:\WINDOWS\System32\vsconfig.xml -->25/09/2006 18:10:14

C:\WINDOWS\System32\jupdate-1.5.0_06-b05.log -->25/09/2006 03:16:01

C:\WINDOWS\System32\wpa.dbl -->24/09/2006 16:12:27

C:\WINDOWS\System32\Uninstall.ico -->11/09/2006 21:28:16

C:\WINDOWS\System32\pavas.ico -->11/09/2006 21:28:16

C:\WINDOWS\System32\Help.ico -->11/09/2006 21:28:16

C:\WINDOWS\System32\FNTCACHE.DAT -->03/09/2006 15:42:57

C:\WINDOWS\System32\QuickTimeVR.qtx -->01/09/2006 16:14:54

C:\WINDOWS\System32\QuickTime.qts -->01/09/2006 16:14:48

C:\WINDOWS\System32\CONFIG.NT -->11/08/2006 07:20:44

C:\WINDOWS\System32\aswBoot.exe -->08/08/2006 18:53:28

C:\WINDOWS\System32\zllictbl.dat -->08/08/2006 05:33:43

C:\WINDOWS\System32\AVASTSS.scr -->05/08/2006 08:18:08

C:\WINDOWS\System32\mshtml.dll -->28/07/2006 04:28:10

C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 15:26:19

C:\WINDOWS\System32\lvcoinst.log -->26/07/2006 20:15:16

C:\WINDOWS\System32\PerfStringBackup.INI -->26/07/2006 08:54:11

C:\WINDOWS\System32\perfh00C.dat -->26/07/2006 08:54:11

C:\WINDOWS\System32\perfh009.dat -->26/07/2006 08:54:11

C:\WINDOWS\System32\perfc00C.dat -->26/07/2006 08:54:11

C:\WINDOWS\System32\perfc009.dat -->26/07/2006 08:54:11

C:\WINDOWS\System32\javaws.exe -->26/07/2006 03:03:16

C:\WINDOWS\System32\jpicpl32.cpl -->26/07/2006 03:03:14

C:\WINDOWS\System32\javaw.exe -->26/07/2006 01:26:06

 

C:\WINDOWS\wiaservc.log -->25/09/2006 19:48:13

C:\WINDOWS\wiadebug.log -->25/09/2006 19:48:13

C:\WINDOWS\Sti_Trace.log -->25/09/2006 19:48:12

C:\WINDOWS\bootstat.dat -->25/09/2006 18:09:32

C:\WINDOWS\WindowsUpdate.log -->25/09/2006 07:37:45

C:\WINDOWS\NeroDigital.ini -->24/09/2006 21:25:39

C:\WINDOWS\tarot.cfg -->18/09/2006 19:54:10

C:\WINDOWS\wininit.ini -->08/09/2006 19:55:13

C:\WINDOWS\win.ini -->08/09/2006 06:24:56

C:\WINDOWS\system.ini -->08/09/2006 06:24:56

C:\WINDOWS\WMSysPr9.prx -->05/09/2006 21:43:07

C:\WINDOWS\mozver.dat -->10/08/2006 05:51:03

C:\WINDOWS\msoffice.ini -->03/08/2006 15:47:35

C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe -->14/07/2006 16:43:09

C:\WINDOWS\ModemLog_Aztech SoftK56 Data Fax PCI Modem.txt -->14/07/2006 16:25:35

 

C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe |14/07/2006 16:43:09

C:\WINDOWS\system32\append.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\aswBoot.exe |12/07/2006 21:56:57

C:\WINDOWS\system32\debug.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\dosx.exe |04/08/2004 00:51:28

C:\WINDOWS\system32\dvdplay.exe |23/08/2001 19:47:34

C:\WINDOWS\system32\edlin.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\exe2bin.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\fastopen.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\InstMed.exe |14/07/2006 16:44:09

C:\WINDOWS\system32\mem.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\MMAVILNG.exe |12/07/2006 21:52:34

C:\WINDOWS\system32\mscdexnt.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\nlsfunc.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\nw16.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\redir.exe |04/08/2004 00:48:48

C:\WINDOWS\system32\setver.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\share.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\vwipxspx.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\amstream.dll |04/08/2004 02:54:22

C:\WINDOWS\system32\compatUI.dll |04/08/2004 02:54:24

C:\WINDOWS\system32\encdec.dll |04/08/2004 02:54:26

C:\WINDOWS\system32\ieencode.dll |04/08/2004 02:54:28

C:\WINDOWS\system32\indounin.dll |27/01/1999 13:39:06

C:\WINDOWS\system32\ir32_32.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\Iyvu9_32.dll |13/06/1997 07:56:08

C:\WINDOWS\system32\libeay32_0.9.6l.dll |08/08/2006 05:32:32

C:\WINDOWS\system32\MMSwitch.dll |12/07/2006 21:52:34

C:\WINDOWS\system32\msdmo.dll |04/08/2004 02:54:34

C:\WINDOWS\system32\msencode.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\OC25FRA.dll |15/08/1995 00:00:00

C:\WINDOWS\system32\ogg.dll |03/09/2006 15:26:56

C:\WINDOWS\system32\paqsp.dll |23/08/2001 19:47:16

C:\WINDOWS\system32\pdfcmnnt.dll |12/07/2006 21:47:45

C:\WINDOWS\system32\qedwipes.dll |04/08/2004 02:53:42

C:\WINDOWS\system32\sbe.dll |04/08/2004 02:54:38

C:\WINDOWS\system32\scriptpw.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\STAPI.dll |05/09/2006 10:48:11

C:\WINDOWS\system32\stci.dll |14/07/2006 16:20:37

C:\WINDOWS\system32\tsd32.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\vorbis.dll |03/09/2006 15:26:56

C:\WINDOWS\system32\win87em.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\xvidcore.dll |05/06/2004 12:56:16

C:\WINDOWS\system32\xvidvfw.dll |06/06/2004 12:53:42

C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe |14/07/2006 16:43:09

C:\WINDOWS\system32\append.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\debug.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\dosx.exe |04/08/2004 00:51:28

C:\WINDOWS\system32\edlin.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\exe2bin.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\fastopen.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\InstMed.exe |14/07/2006 16:44:09

C:\WINDOWS\system32\mem.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\MMAVILNG.exe |12/07/2006 21:52:34

C:\WINDOWS\system32\mscdexnt.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\nlsfunc.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\nw16.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\redir.exe |04/08/2004 00:48:48

C:\WINDOWS\system32\setver.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\share.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\vwipxspx.exe |24/08/2001 16:00:00

C:\WINDOWS\system32\amstream.dll |04/08/2004 02:54:22

C:\WINDOWS\system32\encdec.dll |04/08/2004 02:54:26

C:\WINDOWS\system32\ieencode.dll |04/08/2004 02:54:28

C:\WINDOWS\system32\indounin.dll |27/01/1999 13:39:06

C:\WINDOWS\system32\ir32_32.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\Iyvu9_32.dll |13/06/1997 07:56:08

C:\WINDOWS\system32\libeay32_0.9.6l.dll |08/08/2006 05:32:32

C:\WINDOWS\system32\MMSwitch.dll |12/07/2006 21:52:34

C:\WINDOWS\system32\msdmo.dll |04/08/2004 02:54:34

C:\WINDOWS\system32\msencode.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\OC25FRA.dll |15/08/1995 00:00:00

C:\WINDOWS\system32\ogg.dll |03/09/2006 15:26:56

C:\WINDOWS\system32\pdfcmnnt.dll |12/07/2006 21:47:45

C:\WINDOWS\system32\qedwipes.dll |04/08/2004 02:53:42

C:\WINDOWS\system32\sbe.dll |04/08/2004 02:54:38

C:\WINDOWS\system32\stci.dll |14/07/2006 16:20:37

C:\WINDOWS\system32\tsd32.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\vorbis.dll |03/09/2006 15:26:56

C:\WINDOWS\system32\win87em.dll |24/08/2001 16:00:00

C:\WINDOWS\system32\xvidcore.dll |05/06/2004 12:56:16

C:\WINDOWS\system32\xvidvfw.dll |06/06/2004 12:53:42

 

Le volume dans le lecteur C s'appelle SYSTEME

Le numéro de série du volume est 58B7-1140

Répertoire de C:\WINDOWS\system32

04/08/2004 02:54 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 71 771 222 016 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle SYSTEME

Le numéro de série du volume est 58B7-1140

Répertoire de C:\WINDOWS\Downloaded Program Files

17/09/2006 20:35 <REP> .

17/09/2006 20:35 <REP> ..

12/07/2006 21:05 65 desktop.ini

1 fichier(s) 65 octets

Total des fichiers listés :

1 fichier(s) 65 octets

2 Rép(s) 71 771 222 016 octets libres

Liste des programmes installes

a-squared Free 2.0

AC3Filter (remove only)

Ad-Aware SE Personal

Adobe Reader 6.0.1 - Français

Apple Software Update

Archiveur WinRAR

Arovax Shield 1.3.15

avast! Antivirus

CCleaner (remove only)

Correctif Windows XP - KB885295

DropMyRights

EasyCleaner

Ecran de veille AOL Photos

eMule

EVEREST Home Edition v2.20

ewido anti-malware

ffdshow (remove only)

FoxTarot version 4.0

Google Earth

Google Video Player

Heroes of Might and Magic® III

HijackThis 1.99.1

InterVideo WinDVD 4

iTunes

iTunes

J2SE Runtime Environment 5.0 Update 6

J2SE Runtime Environment 5.0 Update 8

Kit d'installation

Language pack for Ad-Aware SE

Learn2 Player (Uninstall Only)

LightScribe 1.4.105.1

Logiciel QuickCam de Logitech

Logitech Desktop Messenger

Logitech Print Service

Lyra Jukebox Applications

Macromedia Shockwave Player

Messenger Plus! 3

Microsoft Office Professional Edition 2003

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921883)

Morgan Stream Switcher

Mozilla Firefox (1.5.0.7)

MSN Messenger 7.5

Musicmatch® Jukebox

NEC Mobile Drivers

NEC Mobile Drivers

NEC Mobile Suite

NEC Mobile Suite

NEC Synchronization

NEC WMC USB_AD1 Software

NEC WMC USB_BJ1 Software

NEC WMC USB_BK1 Software

NEC WMC USB_T1 Software

Nero OEM

PDFCreator

Platform

Programme de gestion Camera de Logitech®

QuickTime

RealPlayer Basic

S3GSetup

SdLL - Superélèves CE1

Skype 2.0

SoundMAX

Spybot - Search & Destroy 1.4

SpywareBlaster v3.5.1

Trillian

USB MODEM Driver

VIA/S3G Display Driver

Viewpoint Media Player

WebFldrs XP

Windows Media Format Runtime

WinPatrol 10

xp-AntiSpy 3.96-2

XviD MPEG-4 Video Codec

ZoneAlarm

 

Le volume dans le lecteur C s'appelle SYSTEME

Le numéro de série du volume est 58B7-1140

Répertoire de C:\Program Files

25/09/2006 05:31 <REP> .

25/09/2006 05:31 <REP> ..

13/09/2006 18:34 <REP> 3DO

10/09/2006 05:15 <REP> a-squared Free

12/07/2006 21:52 <REP> AC3Filter

12/07/2006 21:13 <REP> Adobe

12/07/2006 21:36 <REP> Ahead

12/07/2006 21:56 <REP> Alwil Software

12/07/2006 21:27 <REP> Analog Devices

16/09/2006 17:10 <REP> Apple Software Update

27/08/2006 06:40 <REP> Arovax Shield

17/08/2006 04:13 <REP> BillP Studios

25/09/2006 05:31 <REP> CCleaner

12/07/2006 21:02 <REP> ComPlus Applications

21/09/2006 04:22 <REP> DropMyRights

22/09/2006 19:23 <REP> eMule

25/09/2006 05:32 <REP> ewido anti-malware

12/07/2006 21:52 <REP> ffdshow

05/09/2006 10:48 <REP> Fichiers communs

13/09/2006 01:39 <REP> FoxTarot4

12/09/2006 17:12 <REP> Google

24/09/2006 19:32 <REP> hjt

13/09/2006 06:55 <REP> Internet Explorer

12/07/2006 21:38 <REP> InterVideo

13/07/2006 00:21 <REP> iPod

22/07/2006 10:55 <REP> iTunes

25/09/2006 18:13 <REP> Java

16/09/2006 17:23 <REP> Kit ADSL

13/07/2006 01:06 <REP> Lavalys

14/07/2006 18:46 <REP> Lavasoft

14/07/2006 16:26 <REP> Learn2.com

14/07/2006 16:45 <REP> Logitech

08/09/2006 16:56 <REP> MessengerPlus! 3

12/07/2006 21:07 <REP> microsoft frontpage

13/07/2006 00:28 <REP> Microsoft Office

13/07/2006 00:27 <REP> Microsoft Visual Studio

13/07/2006 00:28 <REP> Microsoft Works

13/07/2006 00:29 <REP> Microsoft.NET

12/07/2006 21:52 <REP> Morgan

12/07/2006 21:07 <REP> movie maker

25/09/2006 19:45 <REP> Mozilla Firefox

12/07/2006 21:07 <REP> msn gaming zone

08/09/2006 18:06 <REP> MSN Messenger

05/09/2006 21:44 <REP> Musicmatch

05/09/2006 11:24 <REP> NEC

05/09/2006 10:48 <REP> NEC Synchronization

12/07/2006 21:03 <REP> NetMeeting

12/07/2006 21:03 <REP> Outlook Express

12/07/2006 21:48 <REP> PDFCreator

16/09/2006 17:12 <REP> QuickTime

14/07/2006 16:25 <REP> Real

07/09/2006 18:13 <REP> SdLL

12/07/2006 21:04 <REP> Services en ligne

15/07/2006 03:04 <REP> Skype

11/08/2006 05:44 <REP> Spybot - Search & Destroy

21/09/2006 05:33 <REP> SpywareBlaster

05/09/2006 21:43 <REP> Thomson

08/08/2006 04:17 <REP> ToniArts

25/09/2006 01:54 <REP> Trillian

03/08/2006 16:28 <REP> USB Driver-Express

12/07/2006 21:23 <REP> VIA

14/07/2006 16:26 <REP> Viewpoint

18/09/2006 19:54 <REP> Webtarot

31/08/2006 23:41 <REP> Windows Media Player

12/07/2006 21:07 <REP> Windows NT

25/08/2006 05:42 <REP> WinRAR

12/07/2006 21:07 <REP> xerox

25/08/2006 05:46 <REP> xp-AntiSpy

12/07/2006 21:52 <REP> XviD

25/08/2006 05:53 <REP> Zeb Protect

15/07/2006 02:26 <REP> Zone Labs

0 fichier(s) 0 octets

71 Rép(s) 71 771 213 824 octets libres

Le volume dans le lecteur C s'appelle SYSTEME

Le numéro de série du volume est 58B7-1140

Répertoire de C:\Program Files\fichiers communs

 

05/09/2006 10:48 <REP> .

05/09/2006 10:48 <REP> ..

12/07/2006 21:18 <REP> Adobe

12/07/2006 21:36 <REP> Ahead

13/07/2006 00:28 <REP> DESIGNER

14/07/2006 16:45 <REP> FotoWire

12/07/2006 21:38 <REP> InstallShield

12/07/2006 21:49 <REP> Java

03/09/2006 15:26 <REP> LightScribe

14/07/2006 16:43 <REP> Logitech

08/09/2006 18:05 <REP> Microsoft Shared

12/07/2006 21:03 <REP> MSSoap

14/07/2006 16:25 <REP> Nullsoft

12/07/2006 22:56 <REP> ODBC

14/07/2006 16:25 <REP> Real

12/07/2006 21:03 <REP> Services

12/07/2006 22:56 <REP> SpeechEngines

13/07/2006 00:27 <REP> System

05/09/2006 10:48 <REP> XCPCSync.OEM

0 fichier(s) 0 octets

19 Rép(s) 71 771 213 824 octets libres

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\QuickTime 7.1.3.100\QuickTimeInstallerAdmin.exe

c:\Documents and Settings\FAMILLE\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\FAMILLE\Bureau\Romi.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\diaghelp\FilesInfoCmd.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\diaghelp\Fport.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\diaghelp\grep.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\diaghelp\LFiles.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\diaghelp\LISTDLLS.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\diaghelp\pslist.exe

c:\Documents and Settings\FAMILLE\Bureau\DiagHelp\diaghelp\streams.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\FAMILLE\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\FAMILLE\Application Data\Mozilla\Firefox\Profiles\b3bmpr0s.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll

c:\Documents and Settings\FAMILLE\Application Data\Mozilla\Firefox\Profiles\b3bmpr0s.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll

 

Pour panda, c est fait, rien trouvé mais elle n'as pas reussi a avoir rapport ?? je passerais chez elle voir ce que je peux faire.Pour kyspersky, ca va se faire..

Merci bien .a plus

[Thanos]

re!

 

Toujours rien à signaler Si Panda n'a rien trouvé c'est tout bon! ok pour le scan Kaspersky , on verra si lui trouve quelque chose(j'en doute)

 

@+

[Le sioux]

Bonjour,

Ca y est scan Kaspersky fait.

C est cool y a plus rien je crois

Sauf que mon amie avait laissé dans la poubelle des restes de diaghelp zip et active x de panda qui ont été pris pour des intrus "Trojan-Downloader.Win32.Agent.aht "

Ci joint le rapport :

 

Tuesday, September 26, 2006 5:04:51 PMSystème d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)Kaspersky On-line Scanner version : 5.0.83.0Dernière mise à jour de la base antivirus Kaspersky : 26/09/2006Enregistrements dans la base antivirus Kaspersky : 213421

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\C:\E:\

 

Statistiques de l'analyse

Total d'objets analysés 36115

Nombre de virus trouvés 1

Nombre d'objets infectés 2 / 0

Nombre d'objets suspects 0

Durée de l'analyse 00:30:12

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\FAMILLE\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\FAMILLE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\FAMILLE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\FAMILLE\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\FAMILLE\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\FAMILLE\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\FAMILLE\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

 

C:\RECYCLER\S-1-5-21-842925246-515967899-725345543-1006\Dc7.exe Infecté : Trojan-Downloader.Win32.Agent.aht ignoré

C:\RECYCLER\S-1-5-21-842925246-515967899-725345543-1006\Dc8.exe Infecté : Trojan-Downloader.Win32.Agent.aht ignoré

 

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{9F888650-15C0-49ED-A737-FC22DE3C0ECA}\RP3\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\STATION.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_7f8.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT003ab.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT003b1.TMP L'objet est verrouillé ignoré

 

Analyse terminée.

 

Je pense que c'est tout bon.

Merci de confirmer.

Amicalement, a plus

[Thanos]

salut l'Indien

 

Impec !! juste les fichiers découverts à virer =>

 

* Vide la corbeille et constate si les fichiers ont disparu.

Si ce n'est pas le cas , il peuvent avoir été détectés dans un autre profil ! dans ce cas va dans chaque profil et vide la corbeille.Dis moi si c'est bon

[Le sioux]

Bonjour,

Corbeille vidée sans souci (un seul profil d'ouvert).

C'est cool, c'est tout bon !

Merci beaucoup. Tres sympa

Amicalement

Edit : rectification, un scan de Spybot avec dernieres mises a jour nous a trouvé et supprimé Trojan-Downloader.Win32.Agent dans C:\RECYCLER\S-1-5-21-842925246-515967899-725345543-1006\Dc7.exe et C:\RECYCLER\S-1-5-21-842925246-515967899-725345543-1006\Dc8.exe

Bon week end

Modifié le 1 octobre 2006 par L'indien