stopovirus Index du Forum
Connexion S’enregistrer FAQ Membres Rechercher stopovirus Index du Forum

[Résolu] Quelqu'un connait t-il ce trojan ?
Aller à la page: <  1, 2, 3  >

 
Poster un nouveau sujet   Répondre au sujet    stopovirus Index du Forum » Lutte anti malware » Eradication virus lutte antimalware
Sujet précédent :: Sujet suivant  
Auteur Message
rbm1



Inscrit le: 08 Sep 2010
Messages: 365

MessagePosté le: Jeu 9 Sep - 21:37 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Revue du message précédent :

Ce genre de chose n'amuse que l'abruti qui a mis le batch ! C'est à ça que tu vois qu'un administrateur système et un programmeur n'ont pas la même vision de l'informatique et surtout le même humour !

Bonne soirée...


Revenir en haut
Publicité






MessagePosté le: Jeu 9 Sep - 21:37 (2010)    Sujet du message: Publicité

PublicitéSupprimer les publicités ?


Revenir en haut
Geronimo
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 3 622
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Jeu 9 Sep - 21:59 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Dans mon métier les plaisanteries peuvent envoyer un gars à l'hôpital ou direct au cimetière

Bonne soirée à toi aussi



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 08:00 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Bonjour Géronimo,


Je viens de supprimer manuellement non pas une tâche planifiée mais 3 !
Depuis hier (il y en restait une lorsque je suis parti), 2 autres sont venus s'ajouter.


Je te joint le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijPAuXxmE.txt



Je vais aller jeter un oeil sur le contrôleur de domaine au cas où cela viendrait de lui...



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 08:43 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Malgré les 3 AT que j'ai shouté tout à l'heure, 1 nouveau est revenu. La tâche planifiée était prévu pour se lancer à 9h. 
J'ai fait un scan Antivir du répertoire \system32 qui m'a détecté à nouveau le vmoup...


Rapport Antivir:
Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 10 septembre 2010  08:39


La recherche porte sur 2795224 souches de virus.


Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : Administrateur
Nom de l'ordinateur     : F1B05XP20


Informations de version :
BUILD.DAT               : 9.0.0.77      21698 Bytes  09/06/2010 12:01:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 10:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 08:10:30
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 08:10:43
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 08:10:47
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 08:10:54
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 08:11:20
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 08:11:45
VBASE007.VDF            : 7.10.9.165   4840960 Bytes  23/07/2010 08:12:22
VBASE008.VDF            : 7.10.9.166      2048 Bytes  23/07/2010 08:12:22
VBASE009.VDF            : 7.10.9.167      2048 Bytes  23/07/2010 08:12:22
VBASE010.VDF            : 7.10.9.168      2048 Bytes  23/07/2010 08:12:23
VBASE011.VDF            : 7.10.9.169      2048 Bytes  23/07/2010 08:12:23
VBASE012.VDF            : 7.10.9.170      2048 Bytes  23/07/2010 08:12:23
VBASE013.VDF            : 7.10.9.198    157696 Bytes  26/07/2010 08:12:24
VBASE014.VDF            : 7.10.9.255    997888 Bytes  29/07/2010 08:12:30
VBASE015.VDF            : 7.10.10.28    139264 Bytes  02/08/2010 08:12:31
VBASE016.VDF            : 7.10.10.52    127488 Bytes  03/08/2010 08:12:32
VBASE017.VDF            : 7.10.10.84    137728 Bytes  06/08/2010 08:12:33
VBASE018.VDF            : 7.10.10.107    176640 Bytes  09/08/2010 08:12:35
VBASE019.VDF            : 7.10.10.130    132608 Bytes  10/08/2010 08:12:37
VBASE020.VDF            : 7.10.10.158    131072 Bytes  12/08/2010 08:12:38
VBASE021.VDF            : 7.10.10.190    136704 Bytes  16/08/2010 08:12:39
VBASE022.VDF            : 7.10.10.217    118272 Bytes  19/08/2010 08:12:40
VBASE023.VDF            : 7.10.10.246    130048 Bytes  23/08/2010 08:12:41
VBASE024.VDF            : 7.10.11.11    144896 Bytes  25/08/2010 09:40:37
VBASE025.VDF            : 7.10.11.33    135168 Bytes  27/08/2010 06:14:42
VBASE026.VDF            : 7.10.11.52    148992 Bytes  31/08/2010 09:40:40
VBASE027.VDF            : 7.10.11.75    124928 Bytes  03/09/2010 09:40:32
VBASE028.VDF            : 7.10.11.92    137728 Bytes  06/09/2010 09:41:17
VBASE029.VDF            : 7.10.11.107    166400 Bytes  08/09/2010 09:40:31
VBASE030.VDF            : 7.10.11.108      2048 Bytes  08/09/2010 09:40:32
VBASE031.VDF            : 7.10.11.115     35840 Bytes  09/09/2010 09:40:33
Version du moteur       : 8.2.4.50 
AEVDF.DLL               : 8.1.2.1      106868 Bytes  24/08/2010 08:13:14
AESCRIPT.DLL            : 8.1.3.44    1364346 Bytes  27/08/2010 09:40:58
AESCN.DLL               : 8.1.6.1      127347 Bytes  24/08/2010 08:13:08
AESBX.DLL               : 8.1.3.1      254324 Bytes  24/08/2010 08:13:15
AERDL.DLL               : 8.1.8.2      614772 Bytes  24/08/2010 08:13:07
AEPACK.DLL              : 8.2.3.5      471412 Bytes  24/08/2010 08:13:05
AEOFFICE.DLL            : 8.1.1.8      201081 Bytes  24/08/2010 08:13:04
AEHEUR.DLL              : 8.1.2.21    2883958 Bytes  06/09/2010 06:20:00
AEHELP.DLL              : 8.1.13.3     242038 Bytes  27/08/2010 09:40:46
AEGEN.DLL               : 8.1.3.20     397684 Bytes  27/08/2010 09:40:42
AEEMU.DLL               : 8.1.2.0      393588 Bytes  24/08/2010 08:12:50
AECORE.DLL              : 8.1.16.2     192887 Bytes  24/08/2010 08:12:49
AEBB.DLL                : 8.1.1.0       53618 Bytes  24/08/2010 08:12:48
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 14:13:31
AVREP.DLL               : 8.0.0.7      159784 Bytes  24/08/2010 08:13:16
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 15:58:32


Configuration pour la recherche actuelle :
Nom de la tâche...............................: ShlExt
Fichier de configuration......................: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\5acce932.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,


Début de la recherche : vendredi 10 septembre 2010  08:39


La recherche sur les fichiers sélectionnés commence :


Recherche débutant dans 'C:\WINDOWS\system32'
C:\WINDOWS\system32\vmoupmfd.w
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen


Début de la désinfection :
C:\WINDOWS\system32\vmoupmfd.w
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cf8d372.qua' !




Fin de la recherche : vendredi 10 septembre 2010  08:41
Temps nécessaire: 00:58 Minute(s)


La recherche a été effectuée intégralement


    203 Les répertoires ont été contrôlés
   6394 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de contrôler des fichiers
   6393 Fichiers non infectés
      6 Les archives ont été contrôlées
      0 Avertissements
      1 Consignes



_________________
Revenir en haut
Geronimo
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 3 622
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Ven 10 Sep - 08:51 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Bonjour rbm1

- Il n'y a plus qu'une solution pour voir si un dropper ne s'est pas invité sur ton PC utililiser un outil beaucoup plus puissant.

- Aussi si tu a des données à sauvegarder je te conseille de les copier sur un support externe comme une clé USB où un disque dur externe


- Suis précisément les instructions données pour le téléchargement et l'enregistrement du fichier c'est important

- Fais un clic droit sur l'un de ces liens
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

- Choisis Enregistrer la cible sous ...
- Choisis le bureau comme lieu d'enregistrement

- Donne lui ce nom ce nom sos.exe clique sur Enregistrer

- Connecte tes sources de données externes
- Désactive ou quitte tous tes logiciels de sécurité (Anntivirus, antispyware, pare feu)

- Fais un double clic sur sos.exe


- Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage


Note : Si la Console de récupération est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

- Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



- Une fois que la Console de récupération est installée via ComboFix, tu dois voir le message suivant:


- Clique sur Oui ou appuie sur la touche o
- Laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 09:20 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

OK, je m'y mets...

Nouvelle précision, ce matin j'insère ma clé USB dans la machine (7h50) Pas de souci...
Il y a 5mn j'insère la même clé. Avira me détecte un Worm Conficter !


Worm qui était dans un fichier Recycler (caché) nommé jwgkvsq.vmx. Je précise quand même que ce fichier n'était pas présent ce matin !
Je l'ai supprimé manuellement...


Allez, je m'attaque à Combofix.



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 09:49 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Rapport Combofix


ComboFix 10-09-09.03 - Administrateur 10/09/2010   9:40.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.3316.2913 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\sos.exe.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.


c:\windows\system32\scrrnfr.dll


.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-10 au 2010-09-10  ))))))))))))))))))))))))))))))))))))
.


2010-09-09 11:34 . 2010-09-10 05:57 -------- d-----w- c:\program files\ZHPDiag
2010-09-08 07:49 . 2010-09-08 12:15 -------- d-----w- c:\documents and settings\jberger
2010-09-08 07:49 . 2010-09-08 07:29 -------- d-----w- c:\documents and settings\jberger\Bureau
2010-09-08 07:49 . 2010-09-08 07:26 -------- d-----r- c:\documents and settings\jberger\Mes documents
2010-09-08 07:49 . 2010-09-08 07:26 -------- d-----r- c:\documents and settings\jberger\Favoris
2010-09-08 07:49 . 2010-08-18 15:25 -------- d--h--w- c:\documents and settings\jberger\Voisinage réseau
2010-09-08 07:49 . 2010-08-18 15:25 -------- d--h--w- c:\documents and settings\jberger\Voisinage d'impression
2010-09-08 07:49 . 2010-08-18 15:25 -------- d-----r- c:\documents and settings\jberger\Menu Démarrer
2010-09-08 07:49 . 2010-08-18 13:31 -------- d--h--w- c:\documents and settings\jberger\Modèles
2010-09-07 13:09 . 2010-09-07 13:09 503808 ----a-w- c:\documents and settings\nomade\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-50c7e9bb-n\msvcp71.dll
2010-09-07 13:09 . 2010-09-07 13:09 499712 ----a-w- c:\documents and settings\nomade\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-50c7e9bb-n\jmc.dll
2010-09-07 13:09 . 2010-09-07 13:09 348160 ----a-w- c:\documents and settings\nomade\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-50c7e9bb-n\msvcr71.dll
2010-09-07 13:09 . 2010-09-07 13:09 61440 ----a-w- c:\documents and settings\nomade\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-51cf040d-n\decora-sse.dll
2010-09-07 13:09 . 2010-09-07 13:09 12800 ----a-w- c:\documents and settings\nomade\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-51cf040d-n\decora-d3d.dll
2010-09-07 11:00 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-09-07 10:47 . 2010-09-07 10:47 -------- d-----w- c:\windows\Sun
2010-09-07 10:44 . 2010-09-07 10:44 503808 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6133f797-n\msvcp71.dll
2010-09-07 10:44 . 2010-09-07 10:44 499712 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6133f797-n\jmc.dll
2010-09-07 10:44 . 2010-09-07 10:44 348160 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6133f797-n\msvcr71.dll
2010-09-07 10:44 . 2010-09-07 10:44 61440 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-43aac812-n\decora-sse.dll
2010-09-07 10:44 . 2010-09-07 10:44 12800 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-43aac812-n\decora-d3d.dll
2010-09-07 10:43 . 2010-09-07 10:43 -------- d-----w- c:\program files\Fichiers communs\Java
2010-09-07 10:43 . 2010-09-07 10:43 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-07 10:43 . 2010-09-07 10:43 -------- d-----w- c:\program files\Java
2010-09-07 10:09 . 2010-09-07 10:09 2826192 ----a-w- c:\documents and settings\Pdupont\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2010-09-06 13:48 . 2010-09-06 13:48 -------- d-----w- C:\Nouveau dossier
2010-09-02 10:58 . 2010-09-02 10:58 -------- d-s---w- c:\documents and settings\Pdupont\UserData
2010-09-02 09:33 . 2010-09-02 09:59 -------- d-----w- c:\documents and settings\minimum\Local Settings\Application Data\Adobe
2010-09-02 06:58 . 2010-09-02 06:58 -------- d-----w- c:\windows\system32\NtmsData
2010-08-31 12:53 . 2010-08-31 12:53 -------- d-----w- c:\documents and settings\Administrateur.BIN05\Local Settings\Application Data\Adobe
2010-08-31 07:31 . 2010-08-31 12:52 -------- d-----w- c:\documents and settings\Administrateur.BIN05\Bureau
2010-08-31 07:31 . 2010-08-31 12:18 -------- d-----w- c:\documents and settings\Administrateur.BIN05\Local Settings\Application Data\Microsoft
2010-08-31 07:31 . 2010-08-31 07:32 -------- d-----r- c:\documents and settings\Administrateur.BIN05\Favoris
2010-08-31 07:31 . 2010-08-31 12:53 -------- d-----w- c:\documents and settings\Administrateur.BIN05
2010-08-31 07:31 . 2010-08-31 07:32 -------- d-----r- c:\documents and settings\Administrateur.BIN05\Mes documents
2010-08-31 07:31 . 2010-08-18 15:25 -------- d--h--w- c:\documents and settings\Administrateur.BIN05\Voisinage réseau
2010-08-31 07:31 . 2010-08-18 15:25 -------- d--h--w- c:\documents and settings\Administrateur.BIN05\Voisinage d'impression
2010-08-31 07:31 . 2010-08-18 15:25 -------- d-----r- c:\documents and settings\Administrateur.BIN05\Menu Démarrer
2010-08-31 07:31 . 2010-08-18 13:31 -------- d--h--w- c:\documents and settings\Administrateur.BIN05\Modèles
2010-08-26 06:41 . 2008-06-14 17:33 272768 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-08-26 06:41 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\drivers\bthport.sys
2010-08-26 06:40 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-08-26 06:40 . 2010-04-28 18:13 2192000 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2010-08-26 06:40 . 2010-04-28 05:43 2068864 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-08-26 06:40 . 2010-04-28 05:43 2148352 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-08-26 06:40 . 2010-04-28 05:43 2026496 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-08-26 06:39 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-08-26 06:22 . 2007-07-27 21:11 26488 ----a-w- c:\windows\system32\spupdsvc.exe
2010-08-26 06:22 . 2010-08-27 06:33 -------- d--h--w- c:\windows\$hf_mig$
2010-08-25 09:40 . 2010-08-25 09:40 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-08-25 09:18 . 2010-08-25 09:18 -------- d-----w- c:\documents and settings\TEST\Local Settings\Application Data\Adobe
2010-08-24 08:16 . 2010-09-08 09:28 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2010-08-24 08:16 . 2010-08-24 08:18 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google
2010-08-24 08:09 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-08-24 08:09 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-08-24 08:09 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-08-24 08:09 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-08-24 08:09 . 2010-08-24 08:09 -------- d-----w- c:\program files\Avira
2010-08-24 08:09 . 2010-08-24 08:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-08-23 13:59 . 2010-08-23 14:00 -------- d-----w- C:\RessXPP
2010-08-23 13:58 . 2010-08-23 13:58 12328 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-20 10:01 . 2010-09-07 12:45 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Adobe
2010-08-19 14:06 . 2010-08-19 14:06 -------- d-----w- c:\program files\ma-config.com
2010-08-19 14:06 . 2010-08-19 14:06 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-08-19 10:27 . 2008-04-13 09:45 26368 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-08-19 07:35 . 2010-08-19 07:35 -------- d-s---w- c:\documents and settings\Administrateur\UserData
2010-08-19 06:37 . 2010-08-19 06:37 -------- d-----w- c:\program files\D-Link
2010-08-19 06:34 . 2001-08-17 18:13 27165 -c--a-w- c:\windows\system32\dllcache\fetnd5.sys
2010-08-19 06:34 . 2001-08-17 18:13 27165 ----a-w- c:\windows\system32\drivers\fetnd5.sys


.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-31 12:20 . 2010-08-18 13:33 114899 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-31 12:14 . 2010-08-31 12:14 -------- d-----w- c:\program files\CMAK
2010-08-31 10:12 . 2010-08-31 10:11 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-08-27 09:38 . 2008-04-14 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-27 09:38 . 2008-04-14 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-19 06:36 . 2010-08-18 14:05 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-08-18 14:05 . 2010-08-18 14:03 -------- d-----w- c:\program files\Realtek
2010-08-18 14:05 . 2010-08-18 14:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-18 14:05 . 2010-08-18 14:05 315392 ----a-w- c:\windows\HideWin.exe
2010-08-18 14:03 . 2010-08-18 14:03 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield
2010-08-18 13:58 . 2010-08-18 13:58 -------- d-----w- c:\program files\Intel
2010-08-18 13:57 . 2010-08-18 13:57 -------- d-----w- c:\program files\MSXML 4.0
2010-08-18 13:33 . 2010-08-18 13:33 -------- d-----w- c:\program files\microsoft frontpage
2010-08-18 13:32 . 2010-08-18 13:32 -------- d-----w- c:\program files\Services en ligne
2010-08-18 13:31 . 2010-08-18 13:31 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-06-30 12:32 . 2008-04-14 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:10 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 12:10 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-06-24 09:02 . 2008-04-14 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2008-04-14 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2008-04-14 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2010-08-18 13:32 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2008-04-14 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
.


(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-08-24 136176]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-01-16 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-01-16 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-01-16 137752]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-16 16384512]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=


R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/08/2010 10:09 108289]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [13/08/2010 14:43 259440]
.
Contenu du dossier 'Tâches planifiées'


2010-09-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-583907252-362288127-682003330-500Core.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-08-24 08:16]


2010-09-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-583907252-362288127-682003330-500UA.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-08-24 08:16]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
TCP: {4C6A6C24-6BC1-4578-846C-267695EBBB1D} = 194.206.126.253,194.51.3.49
TCP: {ED1A6E5D-6F1E-4D5D-A338-EC23966E4012} = 192.168.5.30
.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-10 09:44
Windows 5.1.2600 Service Pack 3 NTFS


Recherche de processus cachés ... 


Recherche d'éléments en démarrage automatique cachés ... 


Recherche de fichiers cachés ... 


Scan terminé avec succès
Fichiers cachés: 0


**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------


- - - - - - - > 'explorer.exe'(2124)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Heure de fin: 2010-09-10  09:45:16 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-09-10 07:45


Avant-CF: 4 673 421 312 octets libres
Après-CF: 4 683 849 728 octets libres


WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect


- - End Of File - - 40B703E2C003758F779CA930DC3360D6



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 09:55 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Combofix a créé une répertoire caché Autorun.inf contenant le fichier suivant: lpt3.This folder was created by UsbFix


Dois-je le conserver ou puis-je le supprimer ?



_________________
Revenir en haut
Geronimo
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 3 622
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Ven 10 Sep - 11:03 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Il faut le garder c'est un leurre créé par USBFix

Ce qui est curieux c'est que l'on ne voit pas la liste des services et drivers dans Combofix

On va faire autrement

- Télécharge random's system information tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe par random/random et sauvegarde-le sur le Bureau.

- Double-clique sur RSIT.exe afin d'instaler RSIT.

** Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Continue à l'écran Disclaimer

- Si HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché)



Note : Si tu ne vois pas ce rapport tu le trouveras dans le dossier C:\Rsit



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 11:22 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

OK. 


Vu la taille des fichiers txt je vais mettre un lien ci-joint pour éviter de surcharger le sujet.
Fichier Info:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijtZB0sP6.txt

Fichier Log:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijeIntbix.txt

Si tu préfères que je les colle directement pas de souci...
Pour l'instant je n'ai plus eu de tâches planifiées.



_________________
Revenir en haut
Geronimo
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 3 622
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Ven 10 Sep - 11:52 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

C'était vmoupmfd.w le dropper


Citation:
Computer Name: F1B05XP20
Event Code: 4113
Message: AntiVir a détecté dans le fichier
C:\WINDOWS\system32\vmoupmfd.w
un code suspect avec la désignation 'TR/Dropper.Gen'!



- Pas de AT**.job dans Combofix ni dans log.txt c'est plutôt une bonne nouvelle



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 11:58 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Plutôt oui ! 

Par contre pour le conficker de ce matin, je n'ai pas bien compris comment il est arrivé là mais en attendant il ne repointe plus son nez.
Il a du partir en WE avec son pote le dropper !!!  :


Ma journée se termine (je finis à 12h30 le Vendredi) je repasserai faire un tour sur le forum dans la soirée.


Merci pour le coup de main...



_________________
Revenir en haut
Geronimo
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 3 622
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Ven 10 Sep - 12:01 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

On va débarrasser ton PC d'un outil encombrant

Clique sur Démarrer ==> Exécuter tape où copie/colle ComboFix.exe" /uninstall clique sur ok



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 20:10 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Je m'occupe de ça Lundi en arrivant...
Tu ne préfères pas que j'installe et utilise REVO pour désinstaller RSIT, ZHPDiag et Combofix.
Ne connaissant pas le système de désinstallation de Combofix, si je supprime avec la clé /uninstall je me demande si la désinstallation va être complète (Fichiers et clés de la Base de Registre)



_________________
Revenir en haut
Geronimo
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 3 622
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Ven 10 Sep - 20:22 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

C'est à la demande de l'auteur que l'on procède de cette façon pour combofix, pour les autres tu est libre d'utiliser Revo



_________________
Revenir en haut
rbm1


Hors ligne

Inscrit le: 08 Sep 2010
Messages: 365
Localisation: Nord
Sexe: Masculin
Système d'exploitation: Multiboot Win XP / 7
carte mere: Asus P5P800
processeur: Pentium IV 3,4 Ghz
memoire ram: 2 Go OCZ Platinum
carte graphique: Nvidia 6800 GT
disque dur: 160 Go
autre: Carte son M-Audio

MessagePosté le: Ven 10 Sep - 20:24 (2010)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ? Répondre en citant

Ok, on va faire comme l'auteur a dit et REVO pour le reste.



_________________
Revenir en haut
Contenu Sponsorisé






MessagePosté le: Aujourd’hui à 06:04 (2016)    Sujet du message: [Résolu] Quelqu'un connait t-il ce trojan ?



Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    stopovirus Index du Forum » Lutte anti malware » Eradication virus lutte antimalware Toutes les heures sont au format GMT + 2 Heures
Aller à la page: <  1, 2, 3  >
Page 2 sur 3

 
Sauter vers:  

Index | Panneau d’administration | forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001- 2004 phpBB Group
Designed for Trushkin.net | Styles Database
Traduction par : phpBB-fr.com