Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

probleme cheval de troie depuis qqes jour: rapport HJT

pierremomo

Par pierremomo
dans Analyses et éradication malwares

 Partager

Messages recommandés

pierremomo Junior Member

pierremomo

Posté(e)
Posté(e)

Bonjour, depuis quelques jours avast (je viens de voir qu'il valait mieux changer pour antivir, je vais le faire tres bientot je pense) me signale regulierement un cheval de troie dans mes "local settings" je clique sur supprimer (j'ai meme supprimer le contenu de local settings à la main) mais ça réapparait dans la demi heure qui suit.

J'ai aussi (c'est surement lié vu que c'est apparu en meme temps) de temps en temps ZoneAlarm qui me signale qu'un programme dont la description est "todo: <file description>" essaie d'acceder à internet (et de se comporter comme un serveur ... entrant et sortant quoi) je refuse à chaque fois mais ça revient aussi.

En fait aussi bien le cheval de troie de avast que le programme de zone alarm change de nom à chaque fois ...

 

voilà mon rapport HJT:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:30:08, on 06/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\stsystra.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Dell\Media Experience\DMXLauncher.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WinSCP3\PuTTY\pageant.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\WINDOWS\explorer.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Pierre\Bureau\HiJackThis\HijackThis.exe

C:\Program Files\Avast4\ashAvast.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=0061012

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=0061012

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=0061012

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/&s=KUuAerVTEoDjoB6ItHzqkEYSnro

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall

O4 - HKLM\..\Run: [msci] C:\DOCUME~1\Pierre\LOCALS~1\Temp\2007127152124_mcinfo.exe /insfin

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Raccourci vers hop.lnk = C:\These\hop.ppk

O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Documents and Settings\Pierre\Menu Démarrer\Programmes\Absolute Poker\Absolute Poker.lnk

O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Documents and Settings\Pierre\Menu Démarrer\Programmes\Absolute Poker\Absolute Poker.lnk

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe

O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe

O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe

O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{03095C4E-DE47-4637-B426-8E5BA7EC8C2A}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{B7886133-2A56-4ABF-B593-90D19A1A2CCE}: NameServer = 80.10.246.2,80.10.246.129

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7E55765-CCD2-4235-B3D9-66FE61323060}: NameServer = 192.168.1.1

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 10153 bytes

 

 

qu'en pensez vous ? merci d'avance pour votre aide :P

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Salut

 

Rien de flagrant sur ton rapport

 

Fais ceci puis poste le rapport que tu obtiendras stp

 

analyseql0.png Kaspersky

  • Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien
  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

 

@+

 

Eclypse

pierremomo Junior Member

pierremomo

Posté(e)
  • Auteur
Posté(e) (modifié)

depuis hier j'ai aussi des tentatives d'acces à mon ordi depuis diverses IP (signalées et a priori bloquées par ZoneAlarm )

voilà le rapport Kapersky :P

 

 

Friday, September 07, 2007 9:39:32 AM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 7/09/2007

Enregistrements dans la base antivirus Kaspersky : 384707

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

C:\

D:\

E:\

F:\

H:\

I:\

J:\

K:\

Statistiques de l'analyse

Total d'objets analysés 152902

Nombre de virus trouvés 1

Nombre d'objets infectés 17 / 0

Nombre d'objets suspects 0

Durée de l'analyse 03:21:29

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\abook.mab L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\ImapMail\clipper.ens.fr382a7fa.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\ImapMail\clipper.ens.fr\AC-These-Monitorat.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\ImapMail\clipper.ens.fr\Drafts.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\ImapMail\clipper.ens.fr\INBOX.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\ImapMail\clipper.ens.fr\Junk.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\ImapMail\clipper.ens.fr\Sent.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\ImapMail\clipper.ens.fr\Trash.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Drafts.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Inbox.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 200 ... /[From "Bessie Wong" ][Date Wed, 25 Jul 2007 12:10:55 ... /funny.exe Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 200 ... /[From "Bessie Wong" ][Date Wed, 25 Jul 2007 12:10:55 +0000]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 2006 06 ... /[F ... /[From ASD Network ][Date Thu, 19 Jul 2007 15:05:02 +0200]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 2006 06 ... /[From "Reed" ][Date Tue, 19 Dec 2006 04:16:25 - .. ... /text Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 2006 06 ... /[From "Reed" ][Date Tue, 19 Dec 2006 04:16:25 - ... /UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 2006 06 ... /[From "Reed" ][Date Tue, 19 Dec 2006 04:16:25 -0500]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 2006 06:46:21 -0500]/UNNAMED/[From worth" ][Date 18 Dec 2006 20:33:18 +0100]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED/[From from 81.199.41.229 by mblk-d37.sysops.aol.com (205.188.212.221) with HTTP (WebMailUI); Mon, 11 Dec 2006 06:46:21 -0500][Date Mon, 11 Dec 2006 06:46:21 -0500]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Tue, 05 Dec 2006 07:42:19 -0800]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk/[From "=?ISO-8859-1?B?V29sdmVzV2lyZQ==?=" ][Date Thu, 26 Oct 2006 09:09:27 -0700]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk Mail Berkeley mbox: infecté - 10 ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Junk.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Sent.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Trash/[From Mr mehdi ben ayed ][Date Sun, 17 Sep 2006 13:40:33 +0200 (CEST)]/text/[From bermass@club-internet.fr][Date Mon, 18 Sep 2006 00:26:03 +0200]/html/[From ASD Network ][Date Thu, 19 Jul 2007 15:05:02 +0200]/UNNAMED/[From "Bessie Wong" ][Date Wed, 25 Jul 2007 12:10:55 +0000]/UNNAMED/funny.exe Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Trash/[From Mr mehdi ben ayed ][Date Sun, 17 Sep 2006 13:40:33 +0200 (CEST)]/text/[From bermass@club-internet.fr][Date Mon, 18 Sep 2006 00:26:03 +0200]/html/[From ASD Network ][Date Thu, 19 Jul 2007 15:05:02 +0200]/UNNAMED/[From "Bessie Wong" ][Date Wed, 25 Jul 2007 12:10:55 +0000]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Trash/[From Mr mehdi ben ayed ][Date Sun, 17 Sep 2006 13:40:33 +0200 (CEST)]/text/[From bermass@club-internet.fr][Date Mon, 18 Sep 2006 00:26:03 +0200]/html/[From ASD Network ][Date Thu, 19 Jul 2007 15:05:02 +0200]/UNNAMED Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Trash/[From Mr mehdi ben ayed ][Date Sun, 17 Sep 2006 13:40:33 +0200 (CEST)]/text/[From bermass@club-internet.fr][Date Mon, 18 Sep 2006 00:26:03 +0200]/html Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Trash/[From Mr mehdi ben ayed ][Date Sun, 17 Sep 2006 13:40:33 +0200 (CEST)]/text Infecté : Trojan-Downloader.Win32.Agent.brk ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Trash Mail Berkeley mbox: infecté - 5 ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\Trash.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Nouvelles et Blogs\Trash.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\pop.mail.yahoo.fr\Inbox.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\pop.mail.yahoo.fr\Trash.msf L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\panacea.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\ApplicationHistory\cli.exe.c88dbd71.ini.inuse L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_360.wmdb L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Messenger\XXXX@msn.com\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Messenger\XXXX@msn.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Messenger\XXXX@msn.com\SharingMetadata\Working\database_AD8_96A7_D896_9115\dfsr.db L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Messenger\XXXX@msn.com\SharingMetadata\Working\database_AD8_96A7_D896_9115\fsr.log L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Messenger\XXXX@msn.com\SharingMetadata\Working\database_AD8_96A7_D896_9115\fsrtmp.log L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Messenger\XXXX@msn.com\SharingMetadata\Working\database_AD8_96A7_D896_9115\tmp.edb L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Windows Live Contacts\XXXX@msn.com\real\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Windows Live Contacts\XXXX@msn.com\shadow\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Microsoft\Windows Media\11.0\WMSDKNSD.XML L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Application Data\Mozilla\Firefox\Profiles\bdv7994m.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\Memory.tar.gz L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\Perflib_Perfdata_ba8.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\Perflib_Perfdata_e54.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\~DF4361.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\~DF4373.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\~DF56AF.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\~DF56C4.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temp\~DF9020.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Pierre\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré

C:\Program Files\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp�2.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp�3.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp�4.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp�7.part L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP260\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\PC-PIERRE.ldb L'objet est verrouillé ignoré

C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{2E7A102D-86A2-4D1C-A9B7-212ED88FE652}.crmlog L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{9021BCFE-D1E5-4559-AF0B-5354A07A997C}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_f8.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT01027.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\ZLT05ed3.TMP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP260\change.log L'objet est verrouillé ignoré

Analyse terminée.

 

 

donc si je me trompe pas les trucs infectés sont dans mes spams de thunderbird (normal) et je suis sur de n'avoir jamais ouvert la moindre pièce joint suspecte bien entendu .. :P

Modifié par pierremomo
pierremomo Junior Member

pierremomo

Posté(e)
  • Auteur
Posté(e) (modifié)
Salut

 

Télécharge Blacklight puis poste le rapport généré

 

@+

 

Eclypse

 

je viens de le faire et il m'a dit qu'il n'avait rien trouvé ... mais je n'ai pas vu ou je pouvais générer un rapport ... tu veux que je retente ? (merci beaucoup pour ton aide en tout cas)

 

edit: je viens de voir qu'il m'avait fait ça :

09/07/07 10:35:38 [info]: BlackLight Engine 1.0.64 initialized

09/07/07 10:35:38 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/07/07 10:35:38 [Note]: 7019 4

09/07/07 10:35:38 [Note]: 7005 0

09/07/07 10:35:47 [Note]: 7006 0

09/07/07 10:35:47 [Note]: 7011 3112

09/07/07 10:35:47 [Note]: 7026 0

09/07/07 10:35:47 [Note]: 7026 0

09/07/07 10:35:51 [Note]: FSRAW library version 1.7.1022

09/07/07 11:02:36 [Note]: 7007 0

Modifié par pierremomo
eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Peux tu faire ceci vu que Blacklight n'a rien revélé ce qui est encourageant

 

logopostedetravailar2.jpg SmitFraudFix (S!Ri)

 

Télécharge SmitFraudFix de "S!Ri"

  • Décompresse la totalité de l'archive sur ton bureau.
  • Double-clique sur smitfraudfix.cmd
  • Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection.
  • Sauvegarde ce rapport et postes-le

@+

 

Eclypse

pierremomo Junior Member

pierremomo

Posté(e)
  • Auteur
Posté(e)

ça y est (c'est super rapide ... normal ?)

 

 

SmitFraudFix v2.221

 

Rapport fait à 11:50:11,68, 07/09/2007

Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\stsystra.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Dell\Media Experience\DMXLauncher.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WinSCP3\PuTTY\pageant.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\explorer.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\Winamp\winamp.exe

C:\Documents and Settings\Pierre\Bureau\putty.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Pierre\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Intel® 82562V 10/100 Network Connection - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

Description: SAGEM Wi-Fi 11g USB adapter #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 80.10.246.2

DNS Server Search Order: 80.10.246.129

 

Description: SAGEM Wi-Fi 11g USB adapter #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{03095C4E-DE47-4637-B426-8E5BA7EC8C2A}: NameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B7886133-2A56-4ABF-B593-90D19A1A2CCE}: NameServer=80.10.246.2,80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7E55765-CCD2-4235-B3D9-66FE61323060}: NameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{03095C4E-DE47-4637-B426-8E5BA7EC8C2A}: NameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B7886133-2A56-4ABF-B593-90D19A1A2CCE}: NameServer=80.10.246.2,80.10.246.129

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7E55765-CCD2-4235-B3D9-66FE61323060}: NameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{03095C4E-DE47-4637-B426-8E5BA7EC8C2A}: NameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{B7886133-2A56-4ABF-B593-90D19A1A2CCE}: NameServer=80.10.246.2,80.10.246.129

HKLM\SYSTEM\CS3\Services\Tcpip\..\{C7E55765-CCD2-4235-B3D9-66FE61323060}: NameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

eclypse Extrem Member

eclypse

Posté(e)
Posté(e)

Re

 

Demarre en mode sans echec (f8 au demarrage) puis supprime le contenu du repertoire en gras

 

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\

 

Pense à vider ta corbeille :P

 

@+

 

Eclypse

pierremomo Junior Member

pierremomo

Posté(e)
  • Auteur
Posté(e)
Re

 

Demarre en mode sans echec (f8 au demarrage) puis supprime le contenu du repertoire en gras

 

C:\Documents and Settings\Pierre\Application Data\Thunderbird\Profiles\wjquewwm.default\Mail\Local Folders\

 

Pense à vider ta corbeille :P

 

@+

 

Eclypse

 

desolé j'ai été absent quelques jours ... je viens de faire ça ... et j'ai toujours le meme probleme :P

toujours avast qui me signale des chevaux de troie dans C:\Documents and Settings\Pierre\Local Settings\Temp et toujours zonealarm qui me signale des tentatives d'acces par "todo: file description" ... par contre j'ai plus les "tentatives d'acces à mon ordi depuis diverses IP " signalées par zonealarm ... j'espere que ça veut pas dire que y'en a un qui est passé au travers et que le cheval de troie est actif ... surtout que comme un c** je viens de payer un truc en ligne ... y'a un moyen de tester si j'ai un truc actif ? (genre au niveau des connexions ou truc du style :P )

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...