Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Jeu 28 Mar 2024 - 18:18

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 21 messages ]  Aller à la page 1, 2  Suivant
Auteur Message
 Sujet du message: guerillia dans le pc
MessagePublié: Dim 6 Juil 2008 - 17:57 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
salut salut :186: ,cela etait trop beau pour durer,
depuis que j'ai le message de fsecure me disant que mon contrat expire dans 30 jours,je me fait bombardé
le c.... en beauté.
hier soir sentant le poisson arriver,j'ai fait un nettoyage,a mon retour,il y avait 14 fenetres IE ouvertes avec antivirus et scan en lignes en tout genre...
j'ai bataillé jusqu'a 2 h du mat',pour decouvrir :
un Rogue antispyware :cry:
"fraudtool.win32.antiviruspro2008"

j'avais constamment :
-3 programmes installés sur le bureau
-mon icone WMP disparue
-le gestionnaire des taches desactivé
-l'acces par le menu "demarrer" vierge

j'ai commencé par faire un demarrage en MSE,cherché manuellement(averé inutile et infructueux);puis suis passé par tune up utility et j'ai pu acceder a l'arborescence du disque dur et des programmes,j'y ai trouvé un prog appelé "webvideo" que j'ai supprimé,puis j'ai ouvert les 3 proprietés des icones installées,et elles avaient des "url",dabord j'ai modifié les adresses pour les rendre inoffensives,puis j'ai desactivé les MAJ windows,car en bas a droite a coté de la pendule etait inscrit "VIRUS ALERT" en grisé comme s'il etait integré a la pendule.

en allant dans les MAJ,il etait en effet reconnu comme tel.
apres redemarrage,tout etait redevenu normal.a l'extinction,il m'a indiqué que le programme "XPCOM" etait en cours.

aujourdui j'ai voulu voir ou j'en etais,avec un scan en ligne de eTRUST
,qui m'avait trouvé 6 win32 quelque chose...le probleme c'est que j'ai betement :oops: appuyé sur l'un d'eux,ce qui m'a fait changer de page et donc perdre le scan en cours.
en parrallele,fsecure m'a trouvé un trjan que j'ai eliminé,il etait dans "tempory files"
la j'ai recommencé avec kaspersky online,il a deja trouvé 2 infections...
j'attends.....
des que j'ouvre IE il y a "adultfinder" qui s'ouvre ainsi que "battleknight"..
il y a aussi la barre des taches et les icones du bureau qui disparaissent pendant 10-15 secondes,laissant le fond d'ecran seul avec les fenetres en cours (peut etre dut au scan!!! :? )
des que j'en sais plus je vous informe.je vais aussi essayer la derniere version de spybot qui semble pas mal...puis pour terminer,si cela ne cesse,je vous fait un rapport. :wink:

merci de votre attention.lol

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Dim 6 Juil 2008 - 20:48 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
me revoila.....c'est rude ici
j'ai trouvé :
-6 trojan.win32 dans C:/WINDOWS/
-1trojan-downloader.win32 dans C:Program files/antivirus.oxe
-adware.win32.virtumonde.xae dans winlogin.exe


je les ai nettoyé,j'ai installé spybot.mais je n'arrive pas a faire d'analyse car il veut d'abord une MAJ,mais lorsque je
fais cette dernier,il me dit qu'il n'y a rien!
j'ai desactivé Fsecure pensant que c'est lui qui le bloquait,mais rien de plus depuis!!
j'ai viré spybot,mais depuis l'icone Fsecure a disparue.et je n'arrive plus a l'activer,meme en passant par le dossier dans
prog files,il n'y a plus le dossier application pour executer:009:

de plus,le bouclier windows des MAJ est present dans la barre des taches,et me dit qu'elles sont desactivées et que je n'ai pas d'antivirus activés

vos avis sont dorenavant plus que les bienvenus :oops:

je prepare un scan hjkts :wink:



ci joint,le rapport du scan en ligne kaspersky.j'ai deja detruit les elements detectés.

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 06:21 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:D
Ahhh cela commençait a faire longtemps !!!!
Oui envoie un HJThis pour commencer.
:wink: le scan kaspersky n'a pas été mis.

A+
:)

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 08:30 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
voici deja kaspersky,je prepare hjthis :186:

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 08:42 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
ah zut,il ne l'a pas pris!! :shock:
je pensais avoir oublié de la poster hier.
tant pis,voici hjthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:32:29, on 07/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Documents and Settings\fred et vanessa\Bureau\sauvegarde\HijackThis-fr-Colok.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.estvideo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.estvideo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: -Sans nom - {1FE4BFC2-60DB-461C-B734-1D40F120299A} - C:\WINDOWS\system32\efcCtRKa.dll
O2 - BHO: -Sans nom - {74821EE7-84B3-4B20-ABF9-168A594EE91B} - C:\WINDOWS\system32\wvUoLdcA.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [3ce188a3] rundll32.exe "C:\WINDOWS\system32\uabbsvgi.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra du menu contextuel &Bloquer cette fenêtre publicitaire - C:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra du menu contextuel E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Bouton Extra: -Sans nom - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Outil Extra du menu : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Bouton Extra: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WINDOWS\system32\shdocvw.dll
O9 - Outil Extra du menu : Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\WINDOWS\system32\shdocvw.dll
O9 - Bouton Extra: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Bouton Extra: -Sans nom - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Outil Extra du menu : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Bouton Extra: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Outil Extra du menu : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://lesservices.fnac.com
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se2895.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5811387410
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/vi ... ebscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: efcCtRKa - C:\WINDOWS\SYSTEM32\efcCtRKa.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: DrvSun - {f3c7398d-94bc-43ce-9910-5c4c61081d15} - C:\WINDOWS\Resources\DrvSun.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

je trouve qu'il y a beaucoup de lignes "016" avec scan en ligne!!!!
au fait quel est le principe de selesction pour ce rapport??pour ces fameuses lignes par exemple,cela indique les dernieres operations,archives notification de probleme??

comme vous le constatez,Fsecure n'est plus...faut il essayer une restauration sys??
ou reinstaller le logiciel.
que faire aussi pour les MAJ,j'ai toujours le bouclier me disant que je ne suis plus protegé,alors que mes MAJ sont activées? :|

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 09:06 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
hey,re-coucou 8)
je continue en parrallele a chasser mon gibier!
en voulant acceder en direct a "windows update",je me suis rendu compte qu'il passe par IE alors qu'il etait
initialement sur firefox :shock:
en verifiant les proprietés de ce dernier,voici ce qu'il m'indique :
-pour cible %SystemRoot%\system32\wupdmgr.exe
-demarrer dans le meme chemin.
evidemment c'est le dossier system32,mais pour la page internet,c'est ou l'attribution??car en verifiant,firefox est bien mon navigateur par defaut...

oui,je sais,je pose un tas de question en meme temps :oops: ...
en meme temps,c'est ce qui fait le charme des "pasdebol" :lol:

vous avez le temps,au pire je ne travaille pas sur le pc,ce qui repausera mes yeux!! :wink:

merci d'avance de votre investissement

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 09:24 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
et comme je sais que vous adorez les defis de taille,j'ai regardé dans la commande :
-services.msc
les MAJ sont bien desactivées,et je n'arrive pas a les mettre en automatiques???
why :shock:

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 11:10 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Mer 7 Sep 2005 - 09:53
Messages: 1358
fred a écrit:
why :shock:

Virus.
Mais tu le savais déjà peut-être ? :wink:

Les lignes 016 avec "scan en ligne" correspondent aux scan en ligne visités et à ce qu'ils ont installés sur ton PC pour travailler.
As-tu fais un scan en ligne depuis tes ennuis ? (excuse-moi, je n'ai pas tout lu)


Haut
 Profil  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 11:19 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
salut a toi ô grand maitre des claviers :005: ....et protecteurs des oppressés de l'informatique.
oui j'ai fait un scan en ligne avec etrust et kaspersky.
je viens de voir sur un site qu'ils parlent de combofix.exe,est il utile que je l'essaye?
il est aussi dit, que lors de l'installe de spybot il faut selectionner "teatimer",moi je l'avais supprimé,est ce pour cela qu'il ne fonctionnait pas??si oui,je réessaye....

en essayant une recherche web sous "MAJ desactivée",suis tombé sur un forum ou une victime en parle,et elle signale la presence du fameux "virtumonde",que j'avais aussi eu et cité au dessus...je dit cela des fois que ca puisse vous aider dans vos investigations!!! :1:

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 13:19 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
encore un ptit passage(parce que je dois etre bien ici!!! :roll: )....
pour vous dire,que j'ai untiliser une nouvelle arme pour lever le gibier :
-Malwarebytes'anti-malware,au 1er passage il m'a trouvé 32 trojan et 2 malware,qu'il a gentillement nettoyé.
voici le rapport:

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 929
Windows 5.1.2600 Service Pack 2

12:59:37 07/07/2008
mbam-log-7-7-2008 (12-59-37).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 75353
Temps écoulé: 14 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 4
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\Resources\DrvSun.dll (Trojan.Clicker) -> Unloaded module successfully.
C:\WINDOWS\system32\uabbsvgi.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\wvUoLdcA.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\efcCtRKa.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f3c7398d-94bc-43ce-9910-5c4c61081d15} (Trojan.Clicker) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cf778631-f4f6-4f1d-90ae-ce9fe77873d4} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{cf778631-f4f6-4f1d-90ae-ce9fe77873d4} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcctrka (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1fe4bfc2-60db-461c-b734-1d40f120299a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1fe4bfc2-60db-461c-b734-1d40f120299a} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\DrvSun (Trojan.Clicker) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3ce188a3 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1fe4bfc2-60db-461c-b734-1d40f120299a} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\wvuoldca -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\wvuoldca -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\778670 (Trojan.BHO) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\778670\778670.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\Resources\DrvSun.dll (Trojan.Clicker) -> Delete on reboot.
C:\System Volume Information\_restore{75160300-62C0-4DEE-9DEC-1AA9B9415E7D}\RP749\A0095102.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uabbsvgi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\igvsbbau.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\igvsbbau.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUoLdcA.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\AcdLoUvw.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AcdLoUvw.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{75160300-62C0-4DEE-9DEC-1AA9B9415E7D}\RP749\A0094093.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{75160300-62C0-4DEE-9DEC-1AA9B9415E7D}\RP749\A0095093.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcCtRKa.dll (Trojan.Vundo) -> Delete on reboot.
C:\System Volume Information\_restore{75160300-62C0-4DEE-9DEC-1AA9B9415E7D}\RP749\A0095106.dll (Trojan.Zlob) -> Quarantined and deleted successfully.


puis je l'ai reutilisé apres le demarrage en MSE,ou il m'a encore trouvé 4 petits futés...:

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\wvUoLdcA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AcdLoUvw.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\Resources\DrvSun.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcCtRKa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.



au final,je viens de verifier si je pouvais remettre les MAJ par services.msc,et cela a marché.mais lors de ma connection au serveur microsoft pour les MAJ en direct,il me dit qu'il y a un probleme,et le bouclier est dailleurs toujours present. :cry:

a suivre.........

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 13:27 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
dites,je fais quoi pour Fsecure,j'essaies avec le cd d'instal??ou c'est peine perdue.. :?

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 13:56 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
bien,a ce rythme cela va devenir un roman!!! :oops:
je vais donc abreger,j'ai avisé le support fsecure du probleme,car de memoire j'avais eu des soucis pour l'instal
l'an passé avec le cd qui n'etait pas a jour avec la version acheté.
sinon,je suis retourné sur win update,et j'ai selectionné la MAJ "personnalisé",qui m'a permis de me remettre a niveau,puis il a
fait une recherche de ce qu'il me manquait et a voulu installé SP3( :?: savais pas qu'il y en avait un),mais cela a ete un echec.

dommage :| ,c'etait bien parti :)

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 16:26 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
et voila,je pense que ce sera le dernier de cette longue liste :oops: (je vous autorise a supprimer tout ce qui sera trop long a l'issu!!! :wink: ...oui ,je sais,je suis un bon prince :roll: )
Fsecure m'a repondu,ils m'ont envoyé un desinstalleur ainsi que la version 2008 a installé.
j'ai tout fait,et pour le moment,cela fonctionne...enfin je crois!!!

je pars en vadrouille et je laisse Fsecure 2008 faire connaissance avec mon avion en le scannant.

si entre temps vous avez des infos concernant les mess precedents,je suis tout a fait preneur....car meme si
je possede le statut de "champion",je n'en reste pas moins un eleve dans votre classe :556:

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 18:40 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
ca y est,j'ai effectué l'analyse,il m'a encore trouvé des resistants au nombre de 3.
je copie une partie de l'analyse en esperant qu'elle apparait,car le 3eme antiprogramme m'interpelle un peu!!!

Résultat: 3 antiprogramme(s) détecté(s) Tracking Cookie (cookie) * C:\Documents and Settings\fred et vanessa\Cookies\fred_et_vanessa@partypoker[2].txt Action : mis en quarantaine * C:\Documents and Settings\fred et vanessa\Cookies\fred_et_vanessa@partygaming.122.2o7[1].txt Action : mis en quarantaine Windows (vulnerability) * REGDATA:HKCR\regfile\shell\open\command\ Action : mis en quarantaine

ca semble ok dans l'apercu.j'ai deja supprimé les 2 cookie,mais le windows,c'est quoi?? :?

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message: Re: guerillia dans le pc
MessagePublié: Lun 7 Juil 2008 - 18:55 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:D
Génial tu te debrouille tout seul !!!!
Non sans rire.
un petit nettoyage des fichiers temporaires avec ATFcleaner ensuite repasse MBAM puis un scan avec Kaspersky et tu fini par un HJThis.
J'ai feuilleté le sujet mais vu tout ce que tu as fait ce sera mieux de donner du "frais" pour combofix on vera si c'est nécessaire ensuite.
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 21 messages ]  Aller à la page 1, 2  Suivant

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invités


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr