TR/Drop.onlin.gdy.2-Trojan sur mon pc

lorien3341 · le 19 janvier 2010

bonjour suite a l'analyse demandé par antivir toute les semaines aujourd'hui j'ai rqpr cela du rapport :

Avira AntiVir Personal

Date de création du fichier de rapport : mardi 19 janvier 2010 18:09

La recherche porte sur 1568447 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PCBUREAU

Informations de version :

BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 00:19:00

VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 00:19:02

VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 00:19:03

VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 00:19:04

VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 00:19:05

VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 00:19:06

VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 00:19:07

VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 00:19:08

VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 00:19:09

VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 00:19:10

VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 00:19:11

VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 00:19:12

VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 00:19:59

VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 00:20:43

VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 00:21:27

VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 00:22:08

VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 00:22:49

VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 00:23:33

VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 00:24:15

VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 00:24:59

VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 00:25:44

VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 18:53:00

VBASE023.VDF : 7.10.2.186 200704 Bytes 14/01/2010 20:54:09

VBASE024.VDF : 7.10.2.205 201728 Bytes 15/01/2010 11:16:07

VBASE025.VDF : 7.10.2.219 158720 Bytes 18/01/2010 19:40:31

VBASE026.VDF : 7.10.2.230 173056 Bytes 19/01/2010 17:08:22

VBASE027.VDF : 7.10.2.231 2048 Bytes 19/01/2010 17:08:28

VBASE028.VDF : 7.10.2.232 2048 Bytes 19/01/2010 17:08:32

VBASE029.VDF : 7.10.2.233 2048 Bytes 19/01/2010 17:08:34

VBASE030.VDF : 7.10.2.234 2048 Bytes 19/01/2010 17:08:37

VBASE031.VDF : 7.10.2.238 36864 Bytes 19/01/2010 17:08:47

Version du moteur : 8.2.1.142

AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52

AESCRIPT.DLL : 8.1.3.7 594296 Bytes 09/01/2010 00:36:36

AESCN.DLL : 8.1.3.1 127348 Bytes 15/01/2010 21:07:10

AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44

AERDL.DLL : 8.1.3.4 479605 Bytes 09/01/2010 00:35:33

AEPACK.DLL : 8.2.0.5 422262 Bytes 15/01/2010 21:05:41

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38

AEHEUR.DLL : 8.1.0.195 2232695 Bytes 15/01/2010 21:01:32

AEHELP.DLL : 8.1.10.0 237942 Bytes 15/01/2010 20:56:47

AEGEN.DLL : 8.1.1.83 369014 Bytes 09/01/2010 00:27:31

AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26

AECORE.DLL : 8.1.9.5 184693 Bytes 15/01/2010 20:56:23

AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, G:, H:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : mardi 19 janvier 2010 18:09

La recherche d'objets cachés commence.

'44976' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wanadoo_booster.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'E_FATIACE.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'pctspk.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'33' processus ont été contrôlés avec '33' modules

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'G:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'H:\'

[iNFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '53' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <systeme>

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\System Volume Information\_restore{AC88543E-5554-41F2-8168-A746B66F7A67}\RP67\A0016628.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Delf.eiw

C:\System Volume Information\_restore{AC88543E-5554-41F2-8168-A746B66F7A67}\RP67\A0016630.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Delf.eix

Recherche débutant dans 'D:\' <Sauvegarde ok>

Recherche débutant dans 'G:\' <Sauvegarde2>

Recherche débutant dans 'H:\' <Sauvegarde>

Début de la désinfection :

C:\System Volume Information\_restore{AC88543E-5554-41F2-8168-A746B66F7A67}\RP67\A0016628.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Delf.eiw

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b85f0e0.qua' !

C:\System Volume Information\_restore{AC88543E-5554-41F2-8168-A746B66F7A67}\RP67\A0016630.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Delf.eix

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae26a51.qua' !

Fin de la recherche : mardi 19 janvier 2010 18:49

Temps nécessaire: 37:06 Minute(s)

La recherche a été effectuée intégralement

4591 Les répertoires ont été contrôlés

234865 Des fichiers ont été contrôlés

2 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

2 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

234862 Fichiers non infectés

1595 Les archives ont été contrôlées

1 Avertissements

3 Consignes

44976 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

et antivir me dit que il n'est pas le meilleur pour enlever cela ci joint le message antivir

TR/Drop.OnLin.gdy.2 - Trojan A voir aussi

Brève description Description complète Statistiques

Comment noteriez-vous cette information ?

Inutile Excellente

Nom: TR/Drop.OnLin.gdy.2

La date de la découverte: 26/02/2009

Type: Cheval de Troie

Sous type: Dropper

En circulation: Oui

Infections signalées Faible a moyen

Potentiel de distribution: Faible a moyen

Potentiel de destruction: Faible a moyen

Fichier statique: Oui

Taille du fichier: 166.692 Octets

Somme de contrôle MD5: ebfc3ae2c815f51cceb0031fc5ffcb3a

Version IVDF: 7.01.02.90

Général Méthode de propagation:

• Autorun feature (fr)

Les alias:

• Mcafee: Generic PWS.ak trojan

• Sophos: Mal/EncPk-HI

• Panda: W32/Lineage.KDF

• Eset: Win32/PSW.OnLineGames.NNU

• Bitdefender: Trojan.PWS.OnLineGames.KCNQ

Plateformes / Systèmes d'exploitation:

• Windows 2000

• Windows XP

• Windows 2003

Effets secondaires:

• Il télécharge un fichier malveillant

• Il crée des fichiers malveillants

• Il diminue les réglages de sécurité

• Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:

• \93to.bat

• %SYSDIR%\oukdfgr.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– \autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:

•

– %SYSDIR%\bgdferw0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.OnLineGa.gdy

– %SYSDIR%\hyrteas0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Online.gdy.2

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:

• http://vfgbs.com/hg2/**********

Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

• "hjdsdse"="%SYSDIR%\oukdfgr.exe"

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Classes\Interface\

{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\TypeLib]

• "@"="{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}"

• "Version"="1.0"

– [HKLM\SOFTWARE\Classes\TypeLib\

{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0\HELPDIR]

• "@"="%SYSDIR%\"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]

• "@"="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\TypeLib\

{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0]

• "@"="IEHelper 1.0 Type Library"

– [HKLM\SOFTWARE\Classes\Interface\

{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\ProxyStubClsid]

• "@"="{00020424-0000-0000-C000-000000000046}"

– [HKLM\SOFTWARE\Classes\TypeLib\

{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0\FLAGS]

• "@"="0"

– [HKLM\SOFTWARE\Classes\Interface\

{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}\ProxyStubClsid32]

• "@"="{00020424-0000-0000-C000-000000000046}"

– [HKLM\SOFTWARE\Classes\CLSID\{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}\

ProgID]

• "@"="IEHlprObj.IEHlprObj.1"

– [HKLM\SOFTWARE\Classes\CLSID\

{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}]

• "@"="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\Interface\

{F171A44F-7AF5-43E1-AFED-EDC826A1B0F5}]

• "@"="IIEHlprObj"

– [HKLM\SOFTWARE\Classes\CLSID\{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}\

VersionIndependentProgID]

• "@"="IEHlprObj.IEHlprObj"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer]

• "@"="IEHlprObj.IEHlprObj.1"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID]

• "@"="{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj]

• "@"="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\TypeLib\

{F171A442-7AF5-43E1-AFED-EDC826A1B0F5}\1.0\0\win32]

• "@"="%SYSDIR%\bgdferw0.dll"

– [HKLM\SOFTWARE\Classes\CLSID\{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}\

InprocServer32]

• "@"="%SYSDIR%\bgdferw0.dll"

• "ThreadingModel"="Apartment"

Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\

Connections]

La nouvelle valeur:

• "DefaultConnectionSettings"=hex:46,00,00,00,04,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,0

0,04,00,00,00,00,00,00,00,F0,2D,E8,A3,74,79,CA,01,00,00,00,00,00,00,00,00,00,00,0

0,00,01,00,00,00,02,00,00,00,C0,A8,6B,64,00,00,00,00,00,00,00,00,00,00,00,00,00,0

0,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,0

0,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

La nouvelle valeur:

• "Hidden"=dword:0x00000002

• "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL]

La nouvelle valeur:

• "CheckedValue"=dword:0x00000000

Détails de fichier Logiciel de compression des fichiers exécutables:

Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Petre Galan sur Thu, 10 Dec 2009 08:43 (GMT+1)

Description mise à jour par Petre Galan sur Thu, 10 Dec 2009 08:53 (GMT+1)

pourtant avant j'etais avec avast et on m'a dit de prendre antivir car meilleur .

es ce que ce trojan est néfaste pour la machine ???

Apollo · le 19 janvier 2010

Bonjour,

j'etais avec avast et on m'a dit de prendre antivir car meilleur .

Meilleur ne veut pas dire infaillible...

N'oublie pas que c'est un freeware.

Désactive puis réactive la restauration du système mais seulement à la fin de toutes les procédures qui seront effectués ici.

Si tu as déjà MBAM va directement à la mise à jour puis à l'analyse.

Télécharge Malwarebytes' Anti-Malware (MBAM)

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

Poste également un nouveau log Hijackthis stp.

pear · le 19 janvier 2010

Bonsoir,

Votre machine ira bien lorsque vous aurez désintallé la restauration système qui contient lune ancienne infection.

Désinstallez la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite

Un nouveau point de restauration sera créé au redémarrage.

lorien3341 · le 19 janvier 2010

Apollo est ce que doit faire aussi ce pear a marqué et quand !!!

Apollo · le 19 janvier 2010

Fie-toi à Pear, il en sait plus que moi

Y'a pas de problème, s'il dit que la désactivation de la restauration système suffira, c'est que c'est vrai ^^

Mais tu es libre de lancer MBAM si tu en as envie

@++

lorien3341 · le 19 janvier 2010

bon je vais tout faire ce que vous m'avez dit tout les deux ... :P :P

lorien3341 · le 19 janvier 2010

et apres le redemarrage il faut que je remette la restauration du système ??

lorien3341 · le 19 janvier 2010

voici le rapport ...

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3599

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

19/01/2010 20:34:20

mbam-log-2010-01-19 (20-34-20).txt

Type de recherche: Examen complet (C:\|D:\|G:\|H:\|)

Eléments examinés: 157748

Temps écoulé: 22 minute(s), 38 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):