> Tous les forums > Forum Sécurité
 cheval de troie trouvé par ZA ?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
kleretnet
  Posté le 25/03/2008 @ 12:26 
Aller en bas de la page 
Maîtresse astucienne

Bonjour, ce matin en regardant sur mon pc, ZA pro me signalait 2 chevaux de troie, je lui ai indiqué de les supprimer, ce qu'il a fait. Tout de suite derrière, j'ai procédé à un nettoyage complet spybot, regcleaner, regseeker, adaware, ccleaner et un coup d'avast pour voir. Apparemment tout est clean, car aucun de ces log ne m'a trouvé quelquechose. Le souci c'est que OE ne s'ouvrait plus rien à faire, seule une restauration en est venue à bout. A tout hasard je vous post un log HJ à des fois qu'une crasse serait restée. Merci de me dire si c'est bon ou pas. A+

Logfile of HijackThis v1.99.1
Scan saved at 12:21:23, on 25/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ClocX\ClocX.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Folding@Home\winFAH.exe
C:\Program Files\Folding@Home\FahCore_81.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HIJACKTHIS VF\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - Startup: Folding@Home 5.03.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://forum.pcastuces.com
O15 - Trusted Zone: http://www.serials.ws
O15 - Trusted Zone: http://download.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4922ED3D-9C14-4923-A4B4-A6B2A42BE7C8}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{657A43A3-3606-41D4-AB18-1C54064D8451}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4922ED3D-9C14-4923-A4B4-A6B2A42BE7C8}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Modifié par kleretnet le 25/03/2008 15:22
Publicité
d.jm
 Posté le 25/03/2008 à 13:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut,

juste pour dire que la version de HijackThis que tu utilises n'est pas à jour !

vialon
 Posté le 25/03/2008 à 13:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

d.jm a écrit :

Salut,

juste pour dire que la version de HijackThis que tu utilises n'est pas à jour !


HijackThis

Bonsoir kleretnet

...Ta version HijackThis est obsolète dixit Evasion60



Modifié par vialon le 25/03/2008 21:15
kleretnet
 Posté le 25/03/2008 à 14:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

les gars, ok elle est pas à jour, mais elle est en français, et ça doit pas changer grand chose dans le truc
vialon
 Posté le 25/03/2008 à 15:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

kleretnet a écrit :

les gars, ok elle est pas à jour, mais elle est en français, et ça doit pas changer grand chose dans le truc

nan ,sérieux , sourd oui ,mais pas aveugle je t'assure pour l'avoir lu dans le forum "Sécurité" il y avait une différence mais je ne me rappelle plus laquelle

kleretnet
 Posté le 25/03/2008 à 15:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

bon si ça te fais plaisir , je vais le mettre à jour mais c'est bien parce que c'est toi
kleretnet
 Posté le 25/03/2008 à 15:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

voici une version à jour

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:53, on 25/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ClocX\ClocX.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Folding@Home\winFAH.exe
C:\Program Files\Folding@Home\FahCore_81.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HIJACKTHIS VF\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Folding@Home 5.03.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://forum.pcastuces.com
O15 - Trusted Zone: http://www.serials.ws
O15 - Trusted Zone: http://download.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4922ED3D-9C14-4923-A4B4-A6B2A42BE7C8}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{657A43A3-3606-41D4-AB18-1C54064D8451}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4922ED3D-9C14-4923-A4B4-A6B2A42BE7C8}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6112 bytes

d.jm
 Posté le 25/03/2008 à 15:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ta version de java n'est pas non plus à jour
kleretnet
 Posté le 25/03/2008 à 15:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

mais ça me sert pas en java j'ai "java 3D" "JRE 1-5.0.06"et Java 3d-1.4.0.0.1" mais c'et pas ça qui va me dire si mon rapport HJ est bon Y a autre chose qui n'est pas à jour
Publicité
d.jm
 Posté le 25/03/2008 à 15:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

O4 - Startup: Folding@Home 5.03.lnk = ?

cest quoi ca ?!

kleretnet
 Posté le 25/03/2008 à 15:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

ça c'est pour aider la recherche avec mon pc, pour en savoir plus va voir le poste de Clément dans à côté, c'est le 1er tout en haut de la liste , il est épinglé.
lazzzy
 Posté le 25/03/2008 à 15:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

O15 - Trusted Zone: http://www.serials.ws

et ça c'est pour aider qui ?

kleretnet
 Posté le 25/03/2008 à 15:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Bonjour, c'est quoi ça ???? ça c'est installé quand, c'est ça mon cheval de troie trouvé par ZA
lazzzy
 Posté le 25/03/2008 à 15:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
kleretnet
 Posté le 25/03/2008 à 16:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

bon ça y est j'ai fais ce que tu m'as dit, et ça m'a ouvert un fichier bloc notes, faut vraiment que je fasse ce qu'il y a de marqué, c'est à dire faire confiance à la machine....
lazzzy
 Posté le 25/03/2008 à 16:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
quelles sont les manips proposées, et que contient le fichier GenProc\Arguments\Argument.txt ?
kleretnet
 Posté le 25/03/2008 à 16:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

alors, les manip sont de décocher dans ccleaner les fichiers temp de + de 48 h , de télécharger purity et msnfix. C'est ce que j'ai fait, pour purity.bat ça donne ça:

fix lancé en mode sans echec
Rapport Purity 0.02 lancé [1] fois! le 25/03/2008 à 16:25:36,32
Liste des éléments rencontrés au cours de la Recherche...

C:\Program Files\SCURIT~1

fichiers,dossiers sauvegardés dans C:\Documents and Settings\X\Bureau\Purity\Purity\Purity40.zip
Fin du rapport

et pour msnfix :

MSNFix 1.690

C:\Documents and Settings\X\Bureau\MSNFix\MSNFix
Fix exécuté le 25/03/2008 - 16:28:33,84 By X
mode sans échec

************************ Recherche les fichiers présents

... C:\??????.exe

************************ Recherche les dossiers présents

... \TEMP\
... C:\Temp\




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\X~2\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\X~2\LOCALS~1\Temp\services.exe
.. OK ... C:\??????.exe


************************ Suppression des dossiers

/!\ ... \TEMP\
/!\ ... C:\Temp\


************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\WINDOWS\REGBK00.ZIP] EFB54B84F4521BD33C4BFF480B12CA31

[color=#FF0000]==>[/color] SVP merci d'envoyer le fichier C:\DOCUME~1\X~2\Bureau\Upload_Me.zip sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 25032008_16413685.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Pour msnfix, infection trouvée, pas d'option N uniquement demande de taper sur n'importe quelle touche pour nettoyer, à la fin l'écran est passé en rouge en indiquant : des fichiers sont encore présents , "redémarrez l'ordinateur" . avant de rédemarrer, j'ai passer ccleaner et j'ai redémarrer. Au bout de 10 minutes(montre en main) j'étais toujours bloquée sur la page "fermeture de windows", donc je l'ai éteinds au bouton.

faut savoir que depuis ce matin après la découverte de ces 2 chevaux de troie, OE était inaccessible et que seule une restauration me l'a remis en route. Et depuis le pc est super long à s'éteindre ou à s'allumer.......

C'est moi qui est changé le nom en X.

Publicité
kleretnet
 Posté le 25/03/2008 à 17:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

j'ai oublié le nouveau rapport HJ

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:00:23, on 25/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ClocX\ClocX.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Folding@Home\winFAH.exe
C:\Program Files\Folding@Home\FahCore_81.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\HIJACKTHIS VF\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Folding@Home 5.03.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://forum.pcastuces.com
O15 - Trusted Zone: http://download.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4922ED3D-9C14-4923-A4B4-A6B2A42BE7C8}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{657A43A3-3606-41D4-AB18-1C54064D8451}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4922ED3D-9C14-4923-A4B4-A6B2A42BE7C8}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6044 bytes

lazzzy
 Posté le 25/03/2008 à 17:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

SVP merci d'envoyer le fichier Bureau\Upload_Me.zip sur http://upload.changelog.fr

1.Fais ça

2. Dis moi si tu vois un dossier C:\Temp , si oui que contient-il grossomodo ?

3. Supprime la ligne O15 - Trusted Zone: http://www.serials.ws

4. Je n'ai pas vu la couleur du fichier GenProc\Arguments\Argument.txt ?

5. fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 puis poste le rapport lorsqu'il a terminé.

kleretnet
 Posté le 25/03/2008 à 17:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

1.Fais ça ok c'est envoyé

2. Dis moi si tu vois un dossier C:\Temp , si oui que contient-il grossomodo ? oui il existe, dedans il y a : un fichier bdrq (20ko) 2 fichiers temp à 0ko GHJmx et HJUmW

3. Supprime la ligne O15 - Trusted Zone: http://www.serials.ws ça c'est fait (il y en a un qui va m'entendre ce soir, j'ai vu ce que c'était)

4. Je n'ai pas vu la couleur du fichier GenProc\Arguments\Argument.txt ? je te le mets à la suite

5. fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 puis poste le rapport lorsqu'il a terminé. je le fais et te le poste après

C'est grave docteur, il est toujours là ce truc

~ Arguments ~~

# Détections 25/03/2008 15:59:59,90 - C:\Documents and Settings\X\Bureau\GenProc\GenProc\outil

Purity:le 25/03/2008 à 16:00:13,64 "C:\Program Files\SCURIT~1"
MSNFix:le 25/03/2008 à 16:00:15,50 "\TEMP"

kleretnet
 Posté le 25/03/2008 à 17:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

bon voilà le rapport bitdefender online :

je sais pas comment on le met alors je te mets une capture

kleretnet
 Posté le 25/03/2008 à 17:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

je te mets aussi l'autre fenêtre , je m'absente 10 minutes

lazzzy
 Posté le 25/03/2008 à 17:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
pour obtenir le rapport c'est expliqué dans le lien que je t'ai donné
Morgane
 Posté le 25/03/2008 à 18:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Maîtresse astucienne

kleretnet a écrit :

bon voilà le rapport bitdefender online :

je sais pas comment on le met alors je te mets une capture

Si tu suis le tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1
que lazzzy t'a donné... c'est expliqué kler et net

kleretnet
 Posté le 25/03/2008 à 18:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

excuse j'étais pas déscendue assez bas dans le sujet :

BitDefender Online Scanner

Rapport d'analyse généré à: Tue, Mar 25, 2008 - 17:47:35

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;I:\;

Statistiques

Temps

00:30:45

Fichiers

52497

Directoires

6192

Secteurs de boot

5

Archives

1123

Paquets programmes

4614

Résultats

Virus identifiés

3

Fichiers infectés

3

Fichiers suspects

0

Avertissements

0

Désinfectés

0

Fichiers effacés

3

Info sur les moteurs

Définition virus

1023113

Version des moteurs

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins

16

Archive des plugins

41

Unpack des plugins

7

E-mail plugins

6

Système plugins

5

Paramètres d'analyse

Première action

Désinfecté

Seconde Action

Supprimé

Heuristique

Oui

Acceptez les avertissements

Oui

Extensions analysées

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails

Oui

Analyse des Archives

Oui

Analyser paquets programmes

Oui

Analyse des fichiers

Oui

Analyse de boot

Oui

Fichier analysé

Statut

C:\Program Files\Internet Explorer\dap72.exe=>wise0022

Détecté avec: Application.Mainpean.Dialeractivex.A

C:\Program Files\Internet Explorer\dap72.exe=>wise0022

Echec de la désinfection

C:\Program Files\Internet Explorer\dap72.exe=>wise0022

Supprimé

C:\Program Files\Internet Explorer\dap72.exe

Echec de la mise à jour

C:\Program Files\nettoyeur PC\Spamihilator\spamihilator_0_9_9_31.exe

Infecté par: Trojan.Generic.60856

C:\Program Files\nettoyeur PC\Spamihilator\spamihilator_0_9_9_31.exe

Supprimé

C:\Program Files\optimisation XP\RockXP4.exe=>(RAR Sfx o)=>RockXP4_.exe

Détecté avec: Spyware.Pws.A

C:\Program Files\optimisation XP\RockXP4.exe=>(RAR Sfx o)=>RockXP4_.exe

Supprimé

C:\Program Files\optimisation XP\RockXP4.exe=>(RAR Sfx o)

Echec de la mise à jour

lazzzy
 Posté le 25/03/2008 à 18:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

RockXP4 tu y tenais ? car il a l'air d'avoir été supprimé...

Concernant Spamihilator, pas sur que ce soit également le cas, vérifie quand même

Sinon les pbs de départ ça en est où ?

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
24,99 €Casque audio bluetooth JBL T460BT à 24,99 €
Valable jusqu'au 03 Août

Cdiscount fait une vente flash sur le casque audio sans fil bluetooth JBL T460BT qui passe à 24,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 49,99 €. Ce casque sans fil bluetooth 4.0 offre une autonomie de 11h, permet de commander sur le casque les appels et la musique et est repliable à plat. Il est rechargeable avec un câble microUSB fourni.


> Voir l'offre
37,78 € livréeCarte mémoire SDXC UHS-I U3 SanDisk Extreme 256 Go (150 Mo/s) à 37,78 € livrée
Valable jusqu'au 05 Août

Amazon Allemagne fait une promotion sur la carte mémoire SDXC UHS-I U3 SanDisk Extreme 256 Go qui passe à 33,28 €. Comptez 4,50 € pour la livraison en France soit un total de 37,78 € livrée. Cette carte mémoire offre des vitesses jusqu'à 150 Mo/s et est idéale pour les caméras et appareils photo HD. On la trouve ailleurs à partir de 55 €.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
6,60 €Oxymètre numérique HOMIEE (fréquence cardiaque et SpO2) à 6,60 € avec le code LK2L4IIX
Valable jusqu'au 03 Août

Amazon fait une promotion sur l'oxymètre numérique HOMIEE qui passe à 6,60 € avec le code LK2L4IIX au lieu de 22 €. Pincez votre doigt et mesurez facilement votre fréquence cardiaque et le SpO2 (taux de saturation en oxygène).


> Voir l'offre

Sujets relatifs
cheval de troie trouvé par eset
"Un cheval de Troie a été trouvé"
Aide pour cheval de troie trouvé par Kaspersky
Aide svp : Un cheval de Troie a été trouvé !
comment supprimer Un cheval de troie ks/kryptyk.l
pc infecte par cheval de troie et autres
infection cheval de troie
Divers adwares, cheval de Troie
une variante de Win32/Agent.SZW cheval de troie
Cheval de Troie bloqué invisible dans la quarantaine
Plus de sujets relatifs à cheval de troie trouvé par ZA ?
 > Tous les forums > Forum Sécurité