Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[resolu]Win32:tratBHO Cheval de troie

roberoubar

Par roberoubar
dans Analyses et éradication malwares

 Partager

Messages recommandés

roberoubar Member

roberoubar

Posté(e)
Posté(e) (modifié)

Bonjour à tous.

 

J'ai un problème avec Win32:tratBHO[Trj]. Mais avant d'effectuer quelque manipulation que ce soit j'aurais voulu avoir vos conseils car j'ai cru lire que toutes les manipulations ne valaient pas pour tout le monde.

 

Voici mon problème : J'ai effectué une analyse avec avast et j'ai eu pleins de fichiers affecté par ce cheval de troyes dont voici la liste:

ID du fichier : 0000000001 Nom original du fichier : C:\WINDOWS\system32\kernel32.dll Catégorie du fichier : 0

ID du fichier : 0000000002 Nom original du fichier : C:\WINDOWS\system32\winsock.dll Catégorie du fichier : 0

ID du fichier : 0000000003 Nom original du fichier : C:\WINDOWS\system32\wsock32.dll Catégorie du fichier : 0

ID du fichier : 0000000004 Nom original du fichier : C:\WINDOWS\system32\kernel32.dll Catégorie du fichier : 0

ID du fichier : 0000000005 Nom original du fichier : C:\WINDOWS\system32\kernel32.dll Catégorie du fichier : 0

ID du fichier : 0000000019 Nom original du fichier : C:\WINDOWS\system32\byxxv.dll Catégorie du fichier : 1

ID du fichier : 0000000020 Nom original du fichier : C:\WINDOWS\system32\mlljj.dll Catégorie du fichier : 1

ID du fichier : 0000000021 Nom original du fichier : C:\WINDOWS\system32\vtusp.dll Catégorie du fichier : 1

ID du fichier : 0000000022 Nom original du fichier : C:\WINDOWS\system32\NeroCheck.exe Catégorie du fichier : 1

ID du fichier : 0000000023 Nom original du fichier : C:\WINDOWS\system32\byxxv.exe Catégorie du fichier : 1

ID du fichier : 0000000024 Nom original du fichier : C:\WINDOWS\system32\RCX2E.tmp Catégorie du fichier : 1

ID du fichier : 0000000025 Nom original du fichier : C:\WINDOWS\system32\RCX2F.tmp Catégorie du fichier : 1

ID du fichier : 0000000026 Nom original du fichier : C:\WINDOWS\system32\ZCfgSvc.exe Catégorie du fichier : 1

ID du fichier : 0000000027 Nom original du fichier : C:\WINDOWS\system32\ctfmon.exe.tmp Catégorie du fichier : 1

ID du fichier : 0000000028 Nom original du fichier : C:\WINDOWS\ATK0100\HControl.exe Catégorie du fichier : 1

ID du fichier : 0000000029 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\_avast4_\unp79505345.tmp Catégorie du fichier : 1

ID du fichier : 0000000030 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\_avast4_\unp122197248.tmp Catégorie du fichier : 1

ID du fichier : 0000000031 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\RCX18.tmp Catégorie du fichier : 1

ID du fichier : 0000000032 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\RCX19.tmp Catégorie du fichier : 1

ID du fichier : 0000000033 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\RCX1A.tmp Catégorie du fichier : 1

ID du fichier : 0000000034 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\RCX1B.tmp Catégorie du fichier : 1

ID du fichier : 0000000035 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\RCX1C.tmp Catégorie du fichier : 1

ID du fichier : 0000000036 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\RCX1D.tmp Catégorie du fichier : 1

ID du fichier : 0000000037 Nom original du fichier : C:\Documents and Settings\Jérémy\Local Settings\Temp\RCX1E.tmp Catégorie du fichier : 1

ID du fichier : 0000000038 Nom original du fichier : C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe Catégorie du fichier : 1

ID du fichier : 0000000039 Nom original du fichier : C:\Program Files\Asus\ASUS Live Update\ALU.exe Catégorie du fichier : 1

ID du fichier : 0000000040 Nom original du fichier : C:\Program Files\Asus\Power4 Gear\BatteryLife.exe Catégorie du fichier : 1

ID du fichier : 0000000041 Nom original du fichier : C:\Program Files\Synaptics\SynTP\SynTPLpr.exe Catégorie du fichier : 1

ID du fichier : 0000000042 Nom original du fichier : C:\Program Files\Synaptics\SynTP\SynTPEnh.exe Catégorie du fichier : 1

ID du fichier : 0000000043 Nom original du fichier : C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe Catégorie du fichier : 1

ID du fichier : 0000000044 Nom original du fichier : C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe Catégorie du fichier : 1

ID du fichier : 0000000045 Nom original du fichier : C:\Program Files\QuickTime\qttask.exe Catégorie du fichier : 1

ID du fichier : 0000000046 Nom original du fichier : C:\Program Files\QuickTime\qttask .exe Catégorie du fichier : 1

ID du fichier : 0000000047 Nom original du fichier : C:\Program Files\QuickTime\qttask .exe Catégorie du fichier : 1

ID du fichier : 0000000048 Nom original du fichier : C:\Program Files\QuickTime\qttask .exe Catégorie du fichier : 1

ID du fichier : 0000000049 Nom original du fichier : C:\Program Files\QuickTime\qttask .exe Catégorie du fichier : 1

ID du fichier : 0000000050 Nom original du fichier : C:\Program Files\QuickTime\qttask .exe Catégorie du fichier : 1

ID du fichier : 0000000051 Nom original du fichier : C:\Program Files\QuickTime\qttask .exe Catégorie du fichier : 1

ID du fichier : 0000000052 Nom original du fichier : C:\Program Files\Notebook Hardware Control\nhc.exe Catégorie du fichier : 1

ID du fichier : 0000000053 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091528.exe Catégorie du fichier : 1

ID du fichier : 0000000054 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091536.exe Catégorie du fichier : 1

ID du fichier : 0000000055 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091537.EXE Catégorie du fichier : 1

ID du fichier : 0000000056 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091539.exe Catégorie du fichier : 1

ID du fichier : 0000000057 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091540.exe Catégorie du fichier : 1

ID du fichier : 0000000058 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091541.exe Catégorie du fichier : 1

ID du fichier : 0000000059 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091542.EXE Catégorie du fichier : 1

ID du fichier : 0000000060 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091543.exe Catégorie du fichier : 1

ID du fichier : 0000000061 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091544.exe Catégorie du fichier : 1

ID du fichier : 0000000062 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091545.exe Catégorie du fichier : 1

ID du fichier : 0000000063 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091546.exe Catégorie du fichier : 1

ID du fichier : 0000000064 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091547.EXE Catégorie du fichier : 1

ID du fichier : 0000000065 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091548.EXE Catégorie du fichier : 1

ID du fichier : 0000000066 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091549.exe Catégorie du fichier : 1

ID du fichier : 0000000067 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091553.exe Catégorie du fichier : 1

ID du fichier : 0000000068 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091656.exe Catégorie du fichier : 1

ID du fichier : 0000000069 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091666.exe Catégorie du fichier : 1

ID du fichier : 0000000070 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091668.EXE Catégorie du fichier : 1

ID du fichier : 0000000071 Nom original du fichier : C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091669.exe Catégorie du fichier : 1

Ma question est simple, que faire pour m'en débarrasser ? Puis-je effectuer les mêmes manipulations que précédemment ?

 

PS : Si dans mon copier coller j'ai donné des informations qui pourraient me porter "préjudice" merci de me le faire savoir

 

 

J'ai oublié mon rapport HighJackthis que voici

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:14:30, on 07/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\ZCfgSvc .exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\1XConfig.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\WinPoET\WrOS.EXE

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe

C:\WINDOWS\ATK0100\HControl .exe

C:\Program Files\ASUS\ASUS Live Update\ALU .exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr .exe

C:\Program Files\ASUS\Power4 Gear\BatteryLife .exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx .exe

C:\Program Files\Synaptics\SynTP\SynTPEnh .exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe

C:\Program Files\QuickTime\qttask .exe

C:\Program Files\Notebook Hardware Control\nhc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Asus\Asus ChkMail\ChkMail.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Notebook Hardware Control\nhc .exe

C:\Program Files\Alwil Software\Avast4\ashChest.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.univ-orleans.fr/proxy/nomade-scd.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A74F3FC3-CC9A-4D4C-AFB5-B56F0CAA445D} - C:\WINDOWS\system32\byxxwvu.dll

O2 - BHO: (no name) - {F0FEE559-E45E-4EF5-BDCE-0101810D32D4} - C:\Program Files\Fichiers communs\homexC:\WINDOWS\system32\y2\gyreo83122.exe.dll (file missing)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\Asus\Asus ChkMail\ChkMail.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jin...indows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_...gamesloader.cab

O20 - Winlogon Notify: byxxwvu - C:\WINDOWS\SYSTEM32\byxxwvu.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET\WrOS.EXE

 

--

End of file - 7766 bytes

Modifié par roberoubar

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Oui tu as raison: chaque cas est particulier et chaque procédure aussi du même coup!

 

Poste ce rapport stp >

 

Télécharge combofix.exe de sUBs

  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur combofix.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche 1 pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.

@+

roberoubar Member

roberoubar

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour

 

Je te remercie de m'aider. Voici le rapport que m'a donné combofix :

 

ComboFix 08-01-07.5 - Jérémy 2008-01-08 13:36:29.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.244 [GMT 1:00]

Running from: C:\Téléchargements\ComboFix.exe

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\Fichiers communs\Yazzle1281OinUninstaller.exe

C:\Temp\1cb

C:\Temp\1cb\syscheck.log

C:\WINDOWS\system32\f1

C:\WINDOWS\system32\pac.txt

C:\WINDOWS\system32\r3

C:\WINDOWS\system32\vxxyb.ini

C:\WINDOWS\system32\vxxyb.ini2

C:\WINDOWS\system32\y2

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-08 to 2008-01-08 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-08 13:34 . 2008-01-08 13:34 976 --a------ C:\WINDOWS\system32\efccd.dll

2008-01-08 13:33 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-07 22:11 . 2008-01-07 22:11 976 --a------ C:\WINDOWS\system32\mllkh.dll

2008-01-07 21:04 . 2008-01-08 13:40 121 --a------ C:\WINDOWS\bdagent.INI

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Program Files\BitDefender

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Documents and Settings\Jérémy\Application Data\Bitdefender

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender

2008-01-07 20:58 . 2008-01-07 20:58 <REP> d-------- C:\Program Files\Fichiers communs\BitDefender

2008-01-07 18:14 . 2008-01-07 18:14 <REP> d-------- C:\Program Files\Trend Micro

2008-01-01 20:49 . 2008-01-07 12:34 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe

2008-01-01 20:49 . 2008-01-05 16:28 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe

2008-01-01 20:48 . 2008-01-07 12:33 417,856 --a------ C:\WINDOWS\system32\ZCfgSvc .exe

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\WINDOWS\system32\ardCo01

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\Temp\cEeer12

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\Temp

2008-01-01 16:57 . 2008-01-01 16:57 38,400 --------- C:\WINDOWS\system32\byxxwvu.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-07 20:21 22,528 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys

2008-01-07 20:02 77,824 ----a-w C:\WINDOWS\system32\xcomm.dll

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr

2007-11-29 13:05 --------- d-----w C:\Program Files\Sony

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-10-30 23:23 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll

2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll

2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll

2007-10-10 23:49 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll

2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll

2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll

2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2007-10-10 23:49 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll

2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll

2007-10-10 23:49 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll

2007-10-10 23:49 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll

2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll

2007-10-10 23:49 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll

2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll

2007-10-10 23:49 232,960 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll

2007-10-10 23:49 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll

2007-10-10 23:49 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll

2007-10-10 23:49 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll

2007-10-10 23:49 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll

2007-10-10 23:49 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll

2007-10-10 23:49 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll

2007-10-10 23:49 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll

2007-10-10 23:49 102,400 ----a-w C:\WINDOWS\system32\dllcache\occache.dll

2007-10-10 23:49 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll

2007-10-10 11:01 625,152 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe

2007-10-10 11:00 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-10-10 05:46 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll

2007-04-08 20:12 17,080 ----a-w C:\Documents and Settings\Jérémy\Application Data\GDIPFONTCACHEV1.DAT

2007-01-08 13:17 6 ----a-w C:\Program Files\favsvrs.dat

2007-01-08 13:16 114,014 ----a-w C:\Program Files\INSTALL.LOG

1999-05-03 16:16 30,240 ----a-w C:\Program Files\SETUP.EXE

1999-05-03 16:15 141,824 ----a-w C:\Program Files\hluninst.dll

.

<pre>

----a-w 417,856 2008-01-07 11:33:20 C:\WINDOWS\system32\ZCfgSvc .exe

----a-w 155,648 2008-01-07 11:34:06 C:\WINDOWS\system32\NeroCheck .exe

----a-w 15,360 2008-01-05 15:28:28 C:\WINDOWS\system32\ctfmon .exe

----a-w 94,208 2008-01-07 11:33:52 C:\WINDOWS\ATK0100\HControl .exe

----a-w 180,269 2008-01-07 11:34:06 C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe

----a-w 172,032 2008-01-07 11:33:52 C:\Program Files\Asus\ASUS Live Update\ALU .exe

----a-w 81,920 2008-01-07 11:33:54 C:\Program Files\Asus\Power4 Gear\BatteryLife .exe

----a-w 102,400 2008-01-07 11:33:54 C:\Program Files\Synaptics\SynTP\SynTPLpr .exe

----a-w 684,032 2008-01-07 11:33:58 C:\Program Files\Synaptics\SynTP\SynTPEnh .exe

----a-w 339,968 2008-01-07 11:33:58 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx .exe

----a-w 102,469 2008-01-07 11:34:00 C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr .exe

----a-w 79,224 2008-01-05 15:28:08 C:\Program Files\Alwil Software\Avast4\ashDisp .exe

----a-w 98,304 2008-01-05 15:28:18 C:\Program Files\QuickTime\qttask .exe

----a-w 2,629,632 2008-01-07 11:34:18 C:\Program Files\Notebook Hardware Control\nhc .exe

</pre>

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A74F3FC3-CC9A-4D4C-AFB5-B56F0CAA445D}]

2008-01-01 16:57 38400 --------- C:\WINDOWS\system32\byxxwvu.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0FEE559-E45E-4EF5-BDCE-0101810D32D4}]

C:\Program Files\Fichiers communs\homexC:\WINDOWS\system32\y2\gyreo83122.exe.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{381FFDE8-2394-4F90-B10D-FC6124A40F8C}

 

[HKEY_CLASSES_ROOT\clsid\{381ffde8-2394-4f90-b10d-fc6124a40f8c}]

[HKEY_CLASSES_ROOT\BitDefender Toolbar]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [2008-01-05 16:28 98304]

"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]

"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-01-07 21:03 319488]

"NotebookHardwareControl"="C:\Program Files\Notebook Hardware Control\nhc.exe" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

ASUS ChkMail.lnk - C:\Program Files\Asus\Asus ChkMail\ChkMail.exe [2005-01-12 22:25:52]

WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2005-02-05 17:10:13]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{A74F3FC3-CC9A-4D4C-AFB5-B56F0CAA445D}"= C:\WINDOWS\system32\byxxwvu.dll [2008-01-01 16:57 38400]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxwvu]

byxxwvu.dll 2008-01-01 16:57 38400 C:\WINDOWS\system32\byxxwvu.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]

c:\WINDOWS\system32\LgNotify.dll 2004-06-14 06:46 180290 c:\WINDOWS\system32\LgNotify.dll

 

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2004-02-18 02:23]

R1 bdftdif;bdftdif;C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys [2007-10-19 13:17]

R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2003-05-22 17:00]

R3 bdfsfltr;bdfsfltr;C:\WINDOWS\system32\DRIVERS\bdfsfltr.sys [2007-08-02 16:03]

R3 BDSelfPr;BDSelfPr;C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys [2007-08-08 13:12]

R3 scan;BitDefender Threat Scanner;C:\WINDOWS\System32\svchost.exe [2004-08-05 14:00]

R3 WrKPoET2000;WrKPoET2000;C:\Program Files\WinPoET\WrKPoET2000.sys [2003-05-22 17:00]

R3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 18:42]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

 

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-01-08 12:33:28 C:\WINDOWS\Tasks\User_Feed_Synchronization-{D3C686F4-29B0-447E-96FB-D82BAB4CC370}.job"

- C:\WINDOWS\system32\msfeedssync.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-08 13:40:51

Windows 5.1.2600 Service Pack 2 FAT NTAPI

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\byxxwvu.dll

.

Completion time: 2008-01-08 13:41:56

ComboFix-quarantined-files.txt 2008-01-08 12:41:50

.

2007-12-12 14:38:41 --- E O F ---

Bien évidemment je ne comprends rien à tout ce charrabia

 

Par ailleurs, entre temps j'ai téléchargé une version d'évaluation de bitdefender. Il m'a trouvé un autre cheval de troie nommé trojan.vundo.DVO . Je ne sais pas si les conseils que tu me donnent permettront de l'éradiquer également.

 

Petit complément : Suite à l'analyse de combofix, j'ai des touches de raccourcis qui ne répondent plus. Plus exactement, j'ai un portable ASUS, qui dipose au dessus de clavier, sur la coque, de 5 touches permettant de lancer des programmes (Internet Explorer, Outlook, activation carte Wifi...), mais celles-ci ne fonctionnent plus. C'est aussi la même chose pour augmenter ou baisser le son (la manipulation est FN+f11 ou F12) qui ne répond pas. Alors que d'autres raccourcis avec Fn fonctionnent eux. De même j'ai des icones qui ont disparu dans la barre de taches. EDITION : En fait j'arrive à regler le problème en "lançant" un programme nommé Hcontrol situé dans le repertoire c:/Windows/ATK0100 (en fait il ne se passe rien quand je clique dessus, si ce n'est que j'ai le sablier du pointeur qui travaille), mais dès que je redémarre l'ordinateur, il faut que je recommence la manipulation.

 

 

A ton avis, qu'est-ce que j'aurais pu faire de travers ?

 

merci

Modifié par roberoubar
roberoubar Member

roberoubar

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour

 

Je ne sais pas si tu as déjà lu mon post, mais comme je n'arrête pas de l'éditer je préfère poster un autre message pour te faire part d'un autre petit soucis que je rencontre depuis mon scan combofix. Sur je touchpad, j'ai trois touches : Clic gauche/clic droit et un double bouton permettant de faire défiler vers le haut ou vers le bas les pages affichées sur l'écran. Ce double bouton ne fonctionne plus également, et là je ne trouve rien pour l'instant pour le réactiver.

 

Voilà, désolé de poser autant de questions.

Modifié par roberoubar
roberoubar Member

roberoubar

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour

 

Je te précise juste que mes soucis de clavier sont "reglés". J'ai en effet réinstallé les drivers correspondants. Le seul souci maintenant reste le cheval de troie.

 

Au fait si j'ai mal effectué les "rapports" n'hésite pas à me le dire que je puisse recommencer.

Modifié par roberoubar
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut roberoubar :P

 

Je te dois des excuses parce que j'ai un peu oublié le sujet...!

Il y a encore du boulot! on va continuer comme ceci stp, car, malheureusement, aucun antivirus ne fera le travail correctement !

 

1) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/qxrxfw

pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: CFScript

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  • CFScript.gif
  • Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

2) Clique sur le lien suivant > ESET Online Scanner Link

  • Coche la case YES, I accept the Terms Of Use
  • Clique sur le bouton Start
  • Clique ensuite sur le bouton Install
  • Clique sur Start
  • Le scanner va se mettre à jour.
  • Ne coche pas la case Remove found threats
  • Clique sur le bouton Scan
  • Le scan va se lancer: soit patient.
  • Lorsque le scan s'achève, clique sur le menu Details
  • Copie/colle le contenu du rapport généré: il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt

courage :P

 

Edit:

A ton avis, qu'est-ce que j'aurais pu faire de travers ?

Ne passe pas d'autre outil, car les solutions antivirus/antispyware actuelles ne traitent pas l'infection comme il faut!

Est ce que tu pourrais me poster le rapport de BitDefender si tu as ?

Modifié par charles ingals
roberoubar Member

roberoubar

Posté(e)
  • Auteur
Posté(e)

Bonjour à toi

 

Tu ne me dois pas d'excuses c'est déjà sympa de ta part de consacrer de ton temps pour m'aider.

 

Pour commencer voici le rapport d'un scan que j'avais fait de bitdefender :

 

Fichier journal de BitDefender

Produit : BitDefender Antivirus 2008

Version : BitDefender UIScanner V.11

Date du journal : 20:30:28 08/01/2008

Chemin du journal : C:\Documents and Settings\All Users\Application Data\BitDefender\Desktop\Profiles\Logs\deep_scan\1199820628_1_02.xml

 

Analyse des chemins :Chemin0000: C:\

Chemin0001: D:\

 

 

Options d’analyse :Analyse contre les virus : Oui

Détecter les adwares : Oui

Analyse contre les spywares : Oui

Analyse des applications : Oui

Détecter les numéroteurs : Oui

Analyse contre les Rootkits : Oui

 

 

Options de sélection de cible :Analyse les clés du registre : Oui

Analyse des cookies : Oui

Analyser le secteur de boot : Oui

Analyse des processus mémoire : Oui

Analyser les archives : Oui

Analyser les fichiers enpaquetés : Oui

Analyser les emails : Oui

Analyser tous les fichiers : Oui

Analyse heuristique : Oui

Extensions analysées :

Extensions exclues :

 

 

Traitement cibleAction par défaut pour les objets infectés : Désinfecter

Action par défaut pour les objets suspects : Aucun

Action par défaut pour les objets camouflés : Aucun

 

 

Résumé de l'analyseNombre de signatures de virus : 966121

Plugins archives : 41

Plug-ins messagerie : 6

Plugins d'analyse : 12

Plugins archives : 41

Plug-ins système : 4

Plug-ins décompression : 7

 

 

Résumé de l'analyse généraleEléments analysés : 124989

Eléments infectés : 12

Eléments suspects : 0

Eléments résolus : 12

Virus individuels trouvés : 2

Répertoires analysés : 4393

Secteur de boot analysés : 4

Archives analysés : 12284

Erreurs I/O : 24

Temps d'analyse : 00:00:43:52

Fichiers par seconde : 47

 

 

Résumé des processus analysésAnalysé(s) : 40

Infecté(s) : 0

 

 

Résumé des clés de registre analyséesAnalysé(s) : 326

Infecté(s) : 0

 

 

Résumé des cookies analysésAnalysé(s) : 0

Infecté(s) : 0

 

 

Problèmes non résolus :Nom de l'objet Nom de la menace Etat final

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\EverestPoker.zip=]sbRecovery.reg Protégé par mot de passe Aucune action possible

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\EverestPoker.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudCToolbar.zip=]removalfile.bat Protégé par mot de passe Aucune action possible

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudCToolbar.zip=]sbRecovery.ini Protégé par mot de passe Aucune action possible

C:\Téléchargements\wz90fr.exe=](ZIP Sfx s)=]SETUP.WZ=]WINZIP32.EX_ Protégé par mot de passe Aucune action possible

 

 

Problèmes résolusNom de l'objet Nom de la menace Etat final

C:\WINDOWS\system32\byxxwvu.dll Trojan.Vundo.DVO Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP651\A0092067.dll Trojan.Vundo.DVO Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091538.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091667.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091709.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP646\A0091755.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP647\A0091790.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP647\A0091814.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP648\A0091850.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP648\A0091871.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP648\A0091916.ini Trojan.Vundo.DVS Effacé

C:\System Volume Information\_restore{2769C077-6135-424C-A35A-D80680FBE31C}\RP651\A0092069.ini Trojan.Vundo.DVS Effacé

 

 

 

Ce qui est bizarre, c'est que le trojan.vundo.DVO est toujours detecté par bitdefender.

 

Je fais la manipulation que tu m'as montrée dans la matinée

roberoubar Member

roberoubar

Posté(e)
  • Auteur
Posté(e)

Bon.

 

Je bloque sur la première manipulation. J'ai bien téléchargé le fichier. Je l'ai bien "glissé/inséré" dans combo fix. La fenêtre bleue s'est ouverte avec le choix 1 et 2. j'ai demandé le scan. Et la fenêtre bleue est figée depuis plus de 30 minutes avec le message

 

"recherche de fichiers infectieux...

Cela peut prendre 10 minutes etc etc "

 

Je n'ai pas l'impression que le Scan se fasse "réellement". Par ailleurs, le bureau n'a pas disparu une seule fois.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Ok merci pour le rapport de BitDefender : comme tu peux le constater, il ne voit qu'une partie de l'infection! en atteste la détection faite sur le registre par ex >

Résumé des clés de registre analyséesAnalysé(s) : 326

Infecté(s) : 0

Il y a des clés de registre infectées! par ailleurs BitDefender ne voit pas tous les fichiers à éliminer!

 

Donc fais la manip avec ComboFix, ca va bien nettoyer et on verra ce qu'il reste après ca :P

roberoubar Member

roberoubar

Posté(e)
  • Auteur
Posté(e) (modifié)

Bon Finalement ça fonctionnait. Plus exactement, j'ai fait la manipulation ctrl+C car je voulais te copier le message que combofix m'affichait. Là, ça m'a demander si je voulais arrêter le processus, ce que j'ai répondu non, et suite à ça, la processus a démarré (avec défilement des étapes, redémarrage de windows...)

 

Voici le rapport :

 

ComboFix 08-01-11.3 - Jérémy 2008-01-12 10:28:02.2 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.187 [GMT 1:00]

Running from: C:\Documents and Settings\Jérémy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Jérémy\Bureau\CFScript.txt

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\awvtq.dll

C:\WINDOWS\system32\ddayx.dll

 

.

((((((((((((((((((((((((((((( Fichiers crs 2007-12-12 to 2008-01-12 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-11 14:48 . 2008-01-11 14:48 976 --a------ C:\WINDOWS\system32\awvur.dll

2008-01-11 13:18 . 2008-01-11 13:18 976 --a------ C:\WINDOWS\system32\iiihg.dll

2008-01-10 21:50 . 2008-01-10 21:50 976 --a------ C:\WINDOWS\system32\fccyy.dll

2008-01-10 12:13 . 2008-01-10 12:13 976 --a------ C:\WINDOWS\system32\yabxy.dll

2008-01-10 09:13 . 2008-01-10 09:13 976 --a------ C:\WINDOWS\system32\awvtr.dll

2008-01-09 21:36 . 2008-01-09 21:36 976 --a------ C:\WINDOWS\system32\tuvvv.dll

2008-01-09 20:01 . 2008-01-09 20:01 976 --a------ C:\WINDOWS\system32\cbxxu.dll

2008-01-09 15:18 . 2008-01-09 15:18 976 --a------ C:\WINDOWS\system32\tusts.dll

2008-01-09 12:18 . 2008-01-09 12:18 976 --a------ C:\WINDOWS\system32\qomli.dll

2008-01-09 11:18 . 2008-01-09 11:18 976 --a------ C:\WINDOWS\system32\ddcbc.dll

2008-01-09 10:55 . 2004-11-03 23:48 5,632 -ra------ C:\WINDOWS\system32\drivers\ATKACPI.sys

2008-01-09 10:18 . 2008-01-09 10:18 976 --a------ C:\WINDOWS\system32\oppon.dll

2008-01-09 09:18 . 2008-01-09 09:18 976 --a------ C:\WINDOWS\system32\ddaxx.dll

2008-01-09 08:50 . 2008-01-09 08:50 976 --a------ C:\WINDOWS\system32\efedd.dll

2008-01-08 21:06 . 2008-01-08 21:06 976 --a------ C:\WINDOWS\system32\cbxvv.dll

2008-01-08 20:53 . 2008-01-08 20:54 976 --a------ C:\WINDOWS\system32\yabbb.dll

2008-01-08 19:54 . 2008-01-08 19:54 976 --a------ C:\WINDOWS\system32\hgddb.dll

2008-01-08 15:10 . 2008-01-08 15:10 976 --a------ C:\WINDOWS\system32\byxww.dll

2008-01-08 13:34 . 2008-01-08 13:34 976 --a------ C:\WINDOWS\system32\efccd.dll

2008-01-08 13:33 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-07 22:11 . 2008-01-07 22:11 976 --a------ C:\WINDOWS\system32\mllkh.dll

2008-01-07 21:04 . 2008-01-12 10:32 121 --a------ C:\WINDOWS\bdagent.INI

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Program Files\BitDefender

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender

2008-01-07 20:58 . 2008-01-07 20:58 <REP> d-------- C:\Program Files\Fichiers communs\BitDefender

2008-01-07 18:14 . 2008-01-07 18:14 <REP> d-------- C:\Program Files\Trend Micro

2008-01-01 20:49 . 2008-01-07 12:34 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe

2008-01-01 20:49 . 2008-01-05 16:28 15,360 --a------ C:\WINDOWS\system32\dllcache\ctfmon.exe

2008-01-01 20:49 . 2008-01-05 16:28 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe

2008-01-01 20:48 . 2008-01-07 12:33 417,856 --a------ C:\WINDOWS\system32\ZCfgSvc.exe

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\WINDOWS\system32\ardCo01

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\Temp\cEeer12

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\Temp

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-09 14:34 22,528 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys

2008-01-07 20:02 77,824 ----a-w C:\WINDOWS\system32\xcomm.dll

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr

2007-11-29 13:05 --------- d-----w C:\Program Files\Sony

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll

2007-10-30 23:23 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-10-30 17:20 360,064 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll

2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll

2007-01-08 13:17 6 ----a-w C:\Program Files\favsvrs.dat

2007-01-08 13:16 114,014 ----a-w C:\Program Files\INSTALL.LOG

1999-05-03 16:16 30,240 ----a-w C:\Program Files\SETUP.EXE

1999-05-03 16:15 141,824 ----a-w C:\Program Files\hluninst.dll

.

<pre>

----a-w 98,304 2008-01-05 15:28:18 C:\Program Files\QuickTime\qttask .exe

</pre>

 

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

---- Directory of C:\Temp\cEeer12 ----

 

2008-01-01 16:57 1858 --a------ C:\Temp\cEeer12\skAt.log

 

---- Directory of C:\WINDOWS\system32\ardCo01 ----

 

2007-12-20 23:49 32768 --a------ C:\WINDOWS\system32\ardCo01\ardCo011065.exe

 

 

((((((((((((((((((((((((((((( snapshot@2008-01-08_13.41.08,44 )))))))))))))))))))))))))))))))))))))))))

.

- 2004-11-03 00:48:00 16,269 ----a-w C:\WINDOWS\ATK0100\ASNDIS5.sys

+ 2004-11-03 22:48:00 16,269 ----a-r C:\WINDOWS\ATK0100\ASNDIS5.sys

- 2004-11-03 00:48:00 147,456 ----a-w C:\WINDOWS\ATK0100\ASUSNet.dll

+ 2004-11-03 22:48:00 147,456 ----a-r C:\WINDOWS\ATK0100\ASUSNet.dll

- 2004-11-03 00:48:00 61,440 ----a-w C:\WINDOWS\ATK0100\ASW32N50.dll

+ 2004-11-03 22:48:00 61,440 ----a-r C:\WINDOWS\ATK0100\ASW32N50.dll

- 2004-11-03 00:48:00 1,654,784 ----a-w C:\WINDOWS\ATK0100\ATKOSD.exe

+ 2004-11-03 22:48:00 1,654,784 ----a-r C:\WINDOWS\ATK0100\ATKOSD.exe

- 2004-11-03 00:48:00 80,384 ----a-w C:\WINDOWS\ATK0100\ATKWLIOC.DLL

+ 2004-11-03 22:48:00 80,384 ----a-r C:\WINDOWS\ATK0100\ATKWLIOC.DLL

- 2004-11-03 00:48:00 57,344 ----a-w C:\WINDOWS\ATK0100\CMSSC.dll

+ 2004-11-03 22:48:00 57,344 ----a-r C:\WINDOWS\ATK0100\CMSSC.dll

+ 2008-01-07 11:33:52 94,208 ----a-w C:\WINDOWS\ATK0100\HControl.exe

- 2004-11-03 00:48:00 28,672 ----a-w C:\WINDOWS\ATK0100\inter_f2.dll

+ 2004-11-03 22:48:00 28,672 ----a-r C:\WINDOWS\ATK0100\inter_f2.dll

- 2004-11-03 00:48:00 81,920 ----a-w C:\WINDOWS\ATK0100\radfn.dll

+ 2004-11-03 22:48:00 81,920 ----a-r C:\WINDOWS\ATK0100\radfn.dll

- 2004-11-03 00:48:00 110,592 ----a-w C:\WINDOWS\ATK0100\SiSPkt.dll

+ 2004-11-03 22:48:00 110,592 ----a-r C:\WINDOWS\ATK0100\SiSPkt.dll

- 2004-11-03 00:48:00 45,056 ----a-w C:\WINDOWS\ATK0100\XPunin.exe

+ 2004-11-03 22:48:00 45,056 ----a-r C:\WINDOWS\ATK0100\XPunin.exe

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE

+ 2008-01-12 08:48:44 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-12 08:48:44 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-12 08:48:44 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-12 08:48:44 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-12 08:48:44 6,385,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat

+ 2008-01-12 08:48:44 16,384 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE

- 2006-04-20 12:51:50 359,808 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

+ 2007-10-30 17:20:56 360,064 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

- 2007-12-02 23:00:06 18,684,536 ----a-w C:\WINDOWS\system32\MRT.exe

+ 2008-01-02 18:21:36 17,642,616 ----a-w C:\WINDOWS\system32\MRT.exe

- 2004-08-05 03:24:00 77,824 ----a-w C:\WINDOWS\system32\SynTPCoI.dll

+ 2004-08-06 00:24:00 77,824 ----a-w C:\WINDOWS\system32\SynTPCoI.dll

+ 2008-01-12 09:33:52 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_774.dat

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les lments vides & les lments initiaux lgitimes ne sont pas lists

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{381FFDE8-2394-4F90-B10D-FC6124A40F8C}

 

[HKEY_CLASSES_ROOT\clsid\{381ffde8-2394-4f90-b10d-fc6124a40f8c}]

[HKEY_CLASSES_ROOT\BitDefender Toolbar]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-01-05 16:28 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-01-05 16:28 79224]

"QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [2008-01-05 16:28 98304]

"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]

"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-01-07 21:03 319488]

"NotebookHardwareControl"="C:\Program Files\Notebook Hardware Control\nhc.exe" [2008-01-07 12:34 2629632]

"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2008-01-07 12:33 94208]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2008-01-07 12:33 102400]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-07 12:33 684032]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-01-05 16:28 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]

c:\WINDOWS\system32\LgNotify.dll 2004-06-14 06:46 180290 c:\WINDOWS\system32\LgNotify.dll

 

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2004-02-18 02:23]

R1 bdftdif;bdftdif;C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys [2007-10-19 13:17]

R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2003-05-22 17:00]

R3 bdfsfltr;bdfsfltr;C:\WINDOWS\system32\DRIVERS\bdfsfltr.sys [2007-08-02 16:03]

R3 BDSelfPr;BDSelfPr;C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys [2007-08-08 13:12]

R3 scan;BitDefender Threat Scanner;C:\WINDOWS\System32\svchost.exe [2004-08-05 14:00]

R3 WrKPoET2000;WrKPoET2000;C:\Program Files\WinPoET\WrKPoET2000.sys [2003-05-22 17:00]

R3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 18:42]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifies'

"2008-01-12 08:15:30 C:\WINDOWS\Tasks\User_Feed_Synchronization-{D3C686F4-29B0-447E-96FB-D82BAB4CC370}.job"

- C:\WINDOWS\system32\msfeedssync.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 10:33:51

Windows 5.1.2600 Service Pack 2 FAT NTAPI

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

.

Completion time: 2008-01-12 10:37:42 - machine was rebooted [Jrmy]

ComboFix-quarantined-files.txt 2008-01-12 09:37:38

ComboFix2.txt 2008-01-08 12:41:58

.

2008-01-09 15:59:16 --- E O F ---

 

 

Autre petite question : J'ai beau avoir arrêté bitdefender, j'avais très fréquemment des messages car où je devais autoriser l'accès à la base de registre. Si ça peut poser des problèmes que bitdefender soit en fait toujours actif, comment faire pour réellement l'arrêter ?

 

Allez, je passe à l'étape 2

Modifié par roberoubar

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...