Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu]trojan downloader win 32

jxh

Par jxh
dans Analyses et éradication malwares

 Partager

Messages recommandés

jxh Power Member

jxh

Posté(e)
  • Auteur
Posté(e)

les vacances sont finies

 

le log tools cleaner

 

C:\Vundofix backups: trouvé !

C:\_OtMoveIt: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !

C:\Documents and Settings\HP_Propriétaire\Bureau\entretien pc\HijackThis.exe: trouvé !

C:\Documents and Settings\HP_Propriétaire\Bureau\virus Jxa\Navilog1.lnk: trouvé !

C:\Documents and Settings\HP_Propriétaire\Bureau\virus Jxa\vundoFix.exe: trouvé !

C:\Documents and Settings\HP_Propriétaire\Mes documents\vundoFix.exe: trouvé !

C:\Documents and Settings\HP_PropriÚtaire\Bureau\SDFIX: trouvé !

C:\Program Files\Navilog1: trouvé !

C:\Program Files\Navilog1\Navilog1.bat: trouvé !

 

 

kaspersky depuis le 23 date de notre derniere érradication ne détécte plus rien

 

bonne nouvelle

 

mais

par contre avg signale dawnloader agent en rouge :P

 

+ Créé à: 19:11:19 03/03/2008

 

+ Résultat de l'analyse:

 

 

 

C:\WINDOWS\system32\routing.exe -> Downloader.Agent.gwg : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adviva[2].txt -> TrackingCookie.Adviva : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.

 

 

Fin du rapport

 

un nouveau log hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:12:35, on 03/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\HP_Propriétaire\Bureau\entretien pc\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 5696 bytes

 

merci de vos avis

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Vous pourrez dire aux victimes que le rapport est propre.

 

Rendez compte des éventuels disfonctionnements svp.

jxh Power Member

jxh

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonsoir,

 

Vous pourrez dire aux victimes que le rapport est propre.

 

Rendez compte des éventuels disfonctionnements svp.

 

 

merci ce sera fait

 

le soucis c'est ce trojan dawnloader que signale avg

 

malgré la suppression il vient de revenir

 

ce coup ci je l'ai laissé en qurantaine

 

le rapport

 

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 20:57:55 03/03/2008

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\598.80FA0C4C01C87D53.history000001.bak -> Downloader.Agent.gwg : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\598.80FA0C4C01C87D53.history000002.bak -> TrackingCookie.Adviva : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adviva[1].txt -> TrackingCookie.Adviva : Nettoyé.

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\598.80FA0C4C01C87D53.history000003.bak -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\598.80FA0C4C01C87D53.history000004.bak -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\598.80FA0C4C01C87D53.history000005.bak -> TrackingCookie.Netflame : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\PdmHist\598.80FA0C4C01C87D53.history000006.bak -> TrackingCookie.Tradedoubler : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

 

comment s'en débarraser ?

 

j'ai repassé vundofix comme indiqué sur le site de malekal(action en cours)

 

et lui ne trouve pas trojan downloader

 

je pige pas là

 

 

merci de l'aide en tout cas :P

Modifié par jxh
jxh Power Member

jxh

Posté(e)
  • Auteur
Posté(e) (modifié)
Bonsoir,

 

soyez tranquille, le trojan est dans une quarantaine.

 

Je suis et ils sont rassurés merci encore de l'aide apportée :P

 

il n'y a aucun moyen de faire disparaitre ce trojan et le pc devra donc le conserver en quarantaine ?

 

serait il possible d'avoir quelques explications sur cette situation à laquelle je n'ai jamais été confronté (pc assaini mais trojan toujours là mais en quarantaine)

 

par avance merci

Modifié par jxh
pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Ce n'est pas toujours possible.

 

Explication pour Avast:

L'antivirus met un fichier en quarantaine quand il ne parvient pas à le débarrasser d'un virus ou quand il ne sait pas avec certitude s'il est infecté. Dans ce dernier cas, il peut s'agir soit d'un nouveau parasite encore inconnu, soit d'un fichier sain dont le seul « crime » est d'avoir une ressemblance malheureuse avec un malfaisant notoire.

 

Si, plus tard, à la suite d'une mise à jour, l'antivirus devient capable de préciser la nature réelle de l'infection des fichiers mis en quarantaine, il se peut qu'il arrive à les « soigner » ou qu'il déclare qu'ils n'étaient pas réellement infectés. Mais il faut bien l'avouer, cela n'arrive que très rarement.

 

Comme les fichiers mis en quarantaine ne peuvent plus être utilisés ni perturber le bon fonctionnement du micro, vous pouvez les conserver, surtout si ce sont, par exemple, des photos auxquelles vous tenez particulièrement et que vous espérez éventuellement récupérer. Mais, dans la majorité des cas, supprimez-les sans remords comme suit.

 

1 - Cliquez du bouton droit de la souris sur l'icône de Avast ! qui se trouve dans la Zone de notification, en bas à droite de l'écran. Dans le menu qui s'affiche, cliquez sur Démarrer Avast ! Antivirus. Cliquez ensuite sur la petite flèche située en haut à gauche de l'interface principale de Avast ! , puis, dans le menu qui se déroule, cliquez sur Zone de quarantaine

 

2 - Dans la fenêtre suivante, cliquez sur Fichiers infectés dans la colonne de gauche, puis, dans la partie droite de la fenêtre, cliquez du bouton droit sur le fichier à supprimer. Dans le menu qui se déroule, cliquez alors sur Supprimer et confirmez.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...