Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

trojan

tony12

Par tony12
dans Analyses et éradication malwares

 Partager

Messages recommandés

tony12 Junior Member

tony12

Posté(e)
Posté(e)

Bonsoir,

 

Voici une semain que je galère a retrouver le tojen qu'un gros lamer a installer sur mon ordinateur, j'ai effectuer plusieurs

scanne en ligne (anti-virus, security, ect...) mais aucun ne peux me donner son nom, c'est pour sa que j'ai decider de faire appele a vos services.

 

Voici mon log

 

Logfile of HijackThis v1.99.1

Scan saved at 21:56:29, on 21/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HiJackThis\HijackThis.exe

 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

Bonjour tony12 et bienvenue sur zebulon :P

 

Tu es sur d'avoir un trojan ?

 

Tu n'as pas d'antivirus c'est pourtant indispensable:

 

_avast que tu peux telecharger ici: http://www.01net.com/telecharger/windows/U...ches/25899.html

_sa clef (gratuite) a renouveler a peut pres tout les 12 mois (renouvelement gratuit aussi) que tu peux avoir ici: http://www.01net.com/telecharger/windows/U...ches/25899.html

un tuto http://mr.dodo.perso.cegetel.net/tuto04.htm

 

Tu n'as pas de firewall, c'est pourtant indispensable, prends en un tel kerio:

 

_kerio que tu peux télecharger ici http://www.inoculer.com/firewall5.php3

-tuto pour kerio http://www.vulgarisation-informatique.com/kerio.php

 

Telecharge et installe le puis mets le à jour si necessaire.

 

1. Télécharge combofix.exe (par sUBs) ici :

 

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

 

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

 

sur ton Bureau.

 

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

Modifié par bruce lee
tony12 Junior Member

tony12

Posté(e)
  • Auteur
Posté(e)

Bonjour bruce lee,

 

Merci pour cette accueil chaleureux, je ne suis pas sur que c'est un trojan, par contre avast a détécter un virus (win32:CTX) qui a etais supprimer mais le problème perciste.

 

Voici le log de combofix

 

 

ComboFix 07-08-17.2 - "Dep" 2007-08-22 15:43:37.1 - NTFSx86

Microsoft Windows XP ?dition familiale 5.1.2600.2.1252.1.1036.18.99 [GMT 2:00]

* Created a new restore point

 

 

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\LEGACY_NM

-------\LEGACY_NPF

 

 

((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))

 

 

2007-08-22 15:42 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-08-22 15:14 <REP> d-------- C:\Program Files\Sunbelt Software

2007-08-22 13:40 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2007-08-22 13:40 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-08-22 13:40 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-08-22 13:40 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-08-22 13:40 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-08-22 13:40 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-08-22 13:39 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-08-22 13:39 <REP> d-------- C:\Program Files\Alwil Software

2007-08-21 19:37 <REP> d-------- C:\Program Files\Trend Micro

2007-08-21 19:12 1,294 --a------ C:\WINDOWS\system32\tmp.reg

2007-08-21 19:11 <REP> d-------- C:\DOCUME~1\Dep\SmitfraudFix

2007-08-21 19:07 <REP> d-------- C:\Program Files\Yahoo!

2007-08-21 17:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

2007-08-21 17:08 <REP> d-------- C:\Program Files\Lavasoft

2007-08-21 16:25 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft

2007-08-21 16:03 <REP> d-------- C:\Program Files\RogueRemover FREE

2007-08-21 14:29 <REP> d-------- C:\Program Files\Sophos

2007-08-21 14:08 <REP> d-------- C:\DOCUME~1\Dep\APPLIC~1\WinRAR

2007-08-20 22:29 <REP> d-------- C:\Program Files\AnalogX

2007-08-20 22:25 73,216 --a------ C:\WINDOWS\ST6UNST.EXE

2007-08-20 22:25 249,856 --------- C:\WINDOWS\Setup1.exe

2007-08-20 22:25 <REP> d-------- C:\Program Files\Spyster

2007-08-20 22:19 <REP> d-------- C:\Program Files\Port Detective

2007-08-20 22:19 <REP> d-------- C:\DOCUME~1\Dep\APPLIC~1\Help

2007-08-20 20:35 <REP> d-------- C:\DOCUME~1\Dep\APPLIC~1\Uniblue

2007-08-20 11:27 <REP> d-------- C:\Program Files\Windows Live Safety Center

2007-08-19 21:14 <REP> d-------- C:\Program Files\DivX

2007-08-19 20:35 <REP> d-------- C:\Program Files\Fichiers communs\Hewlett-Packard

2007-08-19 20:34 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2007-08-19 20:33 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll

2007-08-19 20:33 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe

2007-08-19 20:33 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe

2007-08-19 20:33 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll

2007-08-19 20:33 306,688 --a------ C:\WINDOWS\IsUninst.exe

2007-08-19 20:33 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll

2007-08-19 20:33 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll

2007-08-19 20:32 68,984 --a------ C:\WINDOWS\hpoins05.dat

2007-08-19 20:32 19,696 --------- C:\WINDOWS\hpomdl05.dat

2007-08-19 20:32 <REP> d-------- C:\Program Files\HP

2007-08-19 20:31 <REP> d-------- C:\temp\HP_WebRelease

2007-08-19 20:31 <REP> d-------- C:\temp

2007-08-19 20:21 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2007-08-19 19:54 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip

2007-08-19 17:35 <REP> d-------- C:\Program Files\QuickTime

2007-08-19 17:35 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer

2007-08-18 21:23 <REP> d-------- C:\Program Files\Ethereal

2007-08-18 16:12 299,520 --a------ C:\WINDOWS\uninst.exe

2007-08-18 16:12 <REP> d-------- C:\Program Files\Hacker Eliminator

2007-08-18 16:12 <REP> d-------- C:\DOCUME~1\Dep\WINDOWS

2007-08-18 15:46 <REP> d-------- C:\WINDOWS\SxsCaPendDel

2007-08-18 15:28 87,608 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\inst.exe

2007-08-18 15:28 47,360 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\pcouffin.sys

2007-08-18 15:28 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Vso

2007-08-18 14:37 81,984 --a------ C:\WINDOWS\system32\bdod.bin

2007-08-18 14:30 <REP> d-------- C:\DOCUME~1\Dep\.housecall6.6

2007-08-18 14:29 <REP> d-------- C:\Program Files\Fichiers communs\BitDefender

2007-08-17 23:12 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS

2007-08-17 16:52 <REP> d-------- C:\WINDOWS\system32\ACE

2007-08-17 14:28 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Talkback

2007-08-16 19:49 <REP> d-------- C:\Program Files\Astonsoft

2007-08-16 19:49 <REP> d-------- C:\DOCUME~1\Dep\APPLIC~1\DeepBurner Pro

2007-08-16 19:45 <REP> d-------- C:\Program Files\Complex

2007-08-16 19:40 <REP> d-------- C:\WINDOWS\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}

2007-08-16 19:08 221,184 --a------ C:\WINDOWS\InZU31.exe

2007-08-16 19:06 94,208 --a------ C:\WINDOWS\system32\drivers\ezplay.sys

2007-08-16 19:06 94,208 --a------ C:\DOCUME~1\Dep\APPLIC~1\ezplay.sys

2007-08-16 19:05 87,608 --a------ C:\DOCUME~1\Dep\APPLIC~1\inst.exe

2007-08-16 19:05 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys

2007-08-16 19:05 47,360 --a------ C:\DOCUME~1\Dep\APPLIC~1\pcouffin.sys

2007-08-16 19:05 <REP> d-------- C:\DOCUME~1\Dep\APPLIC~1\Vso

2007-08-16 17:36 <REP> d-------- C:\WINDOWS\BDOSCAN8

2007-08-16 16:54 <REP> d-------- C:\WINDOWS\speech

2007-08-16 16:36 <REP> d-------- C:\Program Files\a-squared Anti-Malware

2007-08-16 16:04 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-08-16 13:48 <REP> d-------- C:\WINDOWS\system32\Panda Software

2007-08-16 13:47 <REP> d-------- C:\Program Files\Panda Security

2007-08-16 00:22 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT

2007-08-16 00:22 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer

2007-08-16 00:22 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau

2007-08-16 00:22 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression

2007-08-16 00:22 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles

2007-08-16 00:22 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents

2007-08-16 00:22 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris

2007-08-16 00:22 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau

2007-08-16 00:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files

2007-08-15 22:43 3,472 --a------ C:\WINDOWS\mozver.dat

2007-08-15 20:49 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier

2007-08-15 20:48 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat

2007-08-15 20:48 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll

2007-08-15 20:47 <REP> d-------- C:\WINDOWS\Internet Logs

2007-08-15 19:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google

2007-08-15 19:24 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys

2007-08-15 19:24 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys

2007-08-15 19:24 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys

2007-08-15 19:24 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys

2007-08-15 19:24 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys

2007-08-15 19:24 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys

2007-08-15 19:24 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-08-21 16:27 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys

2007-08-21 16:27 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys

2007-08-15 19:44 2398 --a------ C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin

2007-08-15 19:43 8972 --a------ C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll

2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll

2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll

2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll

2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]

 

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys

R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"

S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\system32\B.tmp

 

 

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-22 15:48:50

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

C:\WINDOWS\system32\cmd.exe [2956] 0x81ED0020

 

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Completion time: 2007-08-22 15:51:10 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-08-22 15:51

 

--- E O F ---

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)

Re,

 

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=>

 

http://cybersecurite.xooit.com/t123-Les-co...les-ActiveX.htm

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/kavwebscan.html

 

dans la nouvelle fenetre qui s'affiche clique sur J'accepte

 

On va te demander de télécharger un ou deux contôle active x, accepte . Laisse le faire les mises à jour puis quand il aura finit clique sur Suivant

 

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

 

aide en cas de problème : http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

 

NOTE: le scan est à faire avec Internet Explorer

tony12 Junior Member

tony12

Posté(e)
  • Auteur
Posté(e)

Bonjour bruce lee,

 

 

Je m'excuse pour le manque d'infomation, voici la procedure pour telecharger le fichier ;

 

Click sur : http://rapidshare.com/files/50608777/Test_Kaspersky.htmlhttp://rapidshare.com/files/50608777/Test_Kaspersky.html

 

Va en bas de la page, il y a marque free click dessus

 

Entre le code anti-robot, et tu pourras télécharger le fichier Test Kaspersky

 

Je m'excuse pour le dérangement, mais je ne savais pas comment attacher un fichier au message .

 

 

 

 

 

 

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...