Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Jeu 28 Mar 2024 - 21:53

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 7 messages ] 
Auteur Message
 Sujet du message: Trojan Dropper Win32 Agent
MessagePublié: Jeu 31 Jan 2008 - 22:21 
Hors-ligne
Amateur
Amateur
Avatar de l’utilisateur

Inscrit le: Dim 1 Oct 2006 - 09:30
Messages: 97
Bonjour,

Le PC d'une voisine est infecté par le Trojan Dropper Win32 Agent, détecté par Kasperky, mais celui-ci ne peut le supprimer. Au démarrage du PC, un message apparaît

Desktop
C:/Users/Nom utilistateur/AppData/local/temp/urqqn.exe

Il faut faire OK à ce message, puis message de Kaspersky Trojan Dropper Win32, impossible à supprimer

Que faire ? Avez-vous une petite idée du message au démarrage du PC, est-il lié au Trojan, ou est-ce un second problème.


Merci pour votre aide

@+

Re Rapport

Logfile of HijackThis v1.99.1
Scan saved at 10:06:29, on 01/02/2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\SysMonitor.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=C:\Users\liliane\AppData\Local\Temp\urqqn.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\liliane\AppData\Local\Temp\urqqn.dll,c
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\Windows\system32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

_________________
kleist


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Ven 1 Fév 2008 - 20:21 
Hors-ligne
Amateur
Amateur
Avatar de l’utilisateur

Inscrit le: Dim 1 Oct 2006 - 09:30
Messages: 97
Je relance le sujet, peut-être n'avez-vous pas répondu, car je n'avais pas mis de rapport . C'est fait, mais pas facile, car le PC ne m'appartient pas et n'est pas chez moi :D

_________________
kleist


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Ven 1 Fév 2008 - 23:53 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Tu as bien fait
j'avais vu ce matin, mais bcp de choses a faire.
je pense qu'il serait bon de passer par combofix.
Attention aucune improvisation avec ce logiciel.
Tu t'en tiens a ce qui est écrit sinon il vaut mieux s'abstenir.
Si tu ne peux gérer le PC en toute liberté laisse tomber.
:wink:
Il me faut le rapport.

=>Télécharge combofix.exe
sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe puis suis les instructions.
Quand il aura fini, il va générer un rapport.
Poste le dans ta prochaine réponse avec un nouveau log Hijackthis.

Note Ne pas cliquer dans la fenêtre de combofix et ne rien faire d'autre durant le passage de l'outil.
En général cela prend 10 minutes mais cela peut être plus long selon le niveau d'infection.

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Sam 2 Fév 2008 - 00:05 
Hors-ligne
Amateur
Amateur
Avatar de l’utilisateur

Inscrit le: Dim 1 Oct 2006 - 09:30
Messages: 97
Bonjour AgnesD,

Merci pour ton aide, comme je n'ai pas accès au PC, ma réponse sera peut-être assez longue. Ma voisine n'est pas pressée de se débarasser de ce trojan. ! malgré le message d'erreur au démarrage du PC et l'alerte de Kaspersky !

Dans le rapport que je t'ai mis, il m'est impossible de supprimer le
F3 - REG:win.ini: load=C:\Users\liliane\AppData\Local\Temp\urqqn.exe

J'ai un message comme quoi, le service est occupé.

A dans quelques jours,

@+

_________________
kleist


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Sam 2 Fév 2008 - 09:21 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Avec un peu de "chance" ta voisine a un beau "virus" qui de son pc contamine les autres par l'envoi de spam ou autres, elle a des chances aussi d'avoir en complément un autre qui récupére des infos sur la machine.
Je me trompe peut être mais bon...
:wink:
C'est pas évident de nettoyer superficiellement ce genre de bestiole, on aura toujours le doute de quelque chose de caché qui continue son office sans que l'on le sache, cela ne me conviens pas.
:wink:
Si je demande de passer par combofix qui est un outil assez costaud c'est que cela ne sera pas simple a virer donc oui un service est probablement lancé mais pour savoir ce qui se cache...il me faut ce rapport.
Perso si elle ne veux pas nettoyer je te conseille de lui expliquer et de lui proposer un format.
:?
Désolée Kleist mais j'ai pas mieux.
sinon coche et supprime a la main mais entre nous si kaspersky n'y arrive pas...
Bon j'aimerai autant me tromper sauf qu'a distance on a pas d'autre solution que des outils rapports pour savoir.
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Sam 2 Fév 2008 - 19:18 
Hors-ligne
Amateur
Amateur
Avatar de l’utilisateur

Inscrit le: Dim 1 Oct 2006 - 09:30
Messages: 97
Bonjour AgnesD :D

Merci pour ce complément d'informations. :D Ma voisine est une débutante, :wink: cela ne fait que 1 mois, qu'elle a un PC .

Malheureusement, pour elle, elle avait déjà un trojan qui se donne par mail, elle n'a pas voulu que j'intervienne, :cry: et suivre mes conseils.

L'ignorance des débutants ! 8) Auparavant elle avait Norton, je viens de lui installer Kaspersky, qui, lui a trouvé cet autre trojan . :twisted: :twisted: Après ma petite enquête, elle reçoit des mails, d'une copine qui ne met pas à jour son antivirus . Je pense que la contagion vient de là

Le mieux pour elle, comme son PC est encore sous garantie, (quoique je me demande si la garantie va courir, dans la mesure, que le problème n'est pas TK), c'est de faire formater.


Je pense que je vais abandonner la recherche avec les outils que tu me proposes, car ma voisine n'est pas assez disponible. :wink:

Une question tout de même, quoique je pense connaître la réponse. Risque -t-elle d'infecté d'autres PC par l'envoi de mails ?

Je te tiens au courant, si il y a une suite ou non :D

Bon week-end, :D et encore merci pour tes conseils qui sont toujours très sages et réflèchis.

kleist

_________________
kleist


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Sam 2 Fév 2008 - 19:27 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:lol:
Oui je pense qu'elle doit "spammer" les autres mais pas sure que les mails générés soient infectés, par contre cela contribue a l'augmentation des spams.

Actuellement il y a de nombreuses sources de contagions, mails et même les sites "honnétes" se mettent a être contaminants ils sont piégés a leur insu...
Bref faut faire de plus en plus attention.
Dur pour les débutants mais ils peuvent aussi se former un peu ici ou ailleurs, c'est vital il me semble...
:wink:
Bonne soirée a toi Kleist et merci.
:P

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 7 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invités


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr