Votre question

Infecté par Win32:Obfuscated-BPP [Trj] ! Au secour!

Tags :
  • Win32
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Août 2007 22:49:59

Voilà, j'avais déjà écrit un post mais je l'édite, car je reviens de faire un scan avec Avast et on me signale que je suis infecté par un trojan nommé Win32:o bfuscated-BPP [Trj] . Croyez-vous pouvoir m'aider svp?

Autres pages sur : infecte win32 obfuscated bpp trj secour

5 Août 2007 23:11:45

Quelqu'un peut m'aider svp? (désolé pour le bump)
5 Août 2007 23:29:59

J'ai aussi oublié de mentionner que juste avant le moment ou je ne pouvait plus accéder à mes furteurs internet, Zone Alarm ma demandé si je voulais laisser Avast! accéder à internet.
Contenus similaires
5 Août 2007 23:59:53

Allez remonte petit post, remonte vers la lumière!
6 Août 2007 00:26:54

Toujours personne? J'ai vraiment peur que le trojan m'empèche à nouveau de retourner sur le net =S.
6 Août 2007 00:31:35

Voici le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 18:31:18, on 2007-08-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.videotron.com/services/fr/votre_compte/7_2_4...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 12.129.224.111 us.logon.worldofwarcraft.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986....
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sophie2266.spaces.live.com//PhotoUpload/MsnPUpld...
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8....
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267....
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab569...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

6 Août 2007 01:26:13

Désolé de vous avoir fait attendre, j'était parti manger.

Voici le rapport :

Rapport lopxpMH2 version 2.0 fait à 19:25:35,55 le 2007-08-05
C:\Documents and Settings\Julien\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\All Users\Application Data

2006-12-22 10:10 <REP> .
2006-12-22 10:10 <REP> ..
2007-01-04 21:42 <REP> Adobe
2006-12-22 17:32 <REP> Apple Computer
2007-04-02 11:08 <REP> fssg
2006-12-22 19:15 <REP> Messenger Plus!
2006-12-22 10:10 <REP> Microsoft
2007-01-12 22:58 <REP> pixelStorm
2007-06-17 12:22 <REP> Sect Regs Amen Start
2006-12-22 17:37 <REP> Spybot - Search & Destroy
2007-07-26 03:40 <REP> TEMP
2006-12-23 12:13 <REP> Windows Genuine Advantage
2007-03-12 17:59 <REP> Windows Live Toolbar
2006-12-22 10:10 62 desktop.ini
2007-03-19 13:26 0 LauncherAccess.dt
2006-12-23 14:05 2 388 QTSBandwidthCache
3 fichier(s) 2 450 octets
13 Rép(s) 65 150 316 544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\André\Application Data

2006-12-24 11:10 <REP> .
2006-12-24 11:10 <REP> ..
2007-01-06 03:07 <REP> Adobe
2007-03-14 19:32 <REP> Apple Computer
2006-12-24 11:11 <REP> ATI
2007-06-17 12:22 <REP> great proc
2006-12-24 11:10 <REP> Identities
2006-12-24 11:21 <REP> Macromedia
2006-12-24 11:10 <REP> Microsoft
2006-12-24 11:11 <REP> Mozilla
2007-03-11 14:10 <REP> Sun
2006-12-30 17:15 <REP> vlc
2006-12-24 11:10 62 desktop.ini
1 fichier(s) 62 octets
12 Rép(s) 65 150 304 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\André\Local Settings\Application Data

2006-12-24 11:10 <REP> .
2006-12-24 11:10 <REP> ..
2007-01-25 21:26 <REP> Adobe
2006-12-28 10:06 <REP> Apple Computer
2006-12-24 11:11 <REP> ApplicationHistory
2006-12-24 11:11 <REP> ATI
2006-12-24 11:10 <REP> Microsoft
2006-12-24 11:11 <REP> Mozilla
2007-01-20 14:02 3 584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2006-12-24 11:11 128 fusioncache.dat
2006-12-24 11:10 34 440 GDIPFONTCACHEV1.DAT
2006-12-24 11:22 4 318 170 IconCache.db
4 fichier(s) 4 356 322 octets
8 Rép(s) 65 150 304 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\Default User\Application Data

2006-12-22 10:10 <REP> .
2006-12-22 10:10 <REP> ..
2006-12-22 10:10 <REP> Microsoft
2006-12-22 10:10 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 65 150 304 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

2006-12-22 10:10 <REP> .
2006-12-22 10:10 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 65 150 304 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\Denise\Application Data

2006-12-23 21:51 <REP> .
2006-12-23 21:51 <REP> ..
2007-01-07 11:41 <REP> Adobe
2006-12-23 21:51 <REP> ATI
2006-12-23 21:51 <REP> Identities
2006-12-23 21:52 <REP> Macromedia
2006-12-23 21:51 <REP> Microsoft
2006-12-23 21:51 <REP> Mozilla
2006-12-23 21:51 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 65 150 300 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\Denise\Local Settings\Application Data

2006-12-23 21:51 <REP> .
2006-12-23 21:51 <REP> ..
2007-01-27 12:31 <REP> Adobe
2006-12-23 21:51 <REP> ApplicationHistory
2006-12-23 21:51 <REP> ATI
2006-12-23 21:51 <REP> Microsoft
2006-12-23 21:51 <REP> Mozilla
2006-12-23 21:51 129 fusioncache.dat
2006-12-23 21:51 34 440 GDIPFONTCACHEV1.DAT
2006-12-23 22:00 3 789 998 IconCache.db
3 fichier(s) 3 824 567 octets
7 Rép(s) 65 150 300 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\Julien\Application Data

2006-12-22 16:23 <REP> .
2006-12-22 16:23 <REP> ..
2007-01-04 21:42 <REP> Adobe
2006-12-22 17:33 <REP> Apple Computer
2006-12-26 16:14 <REP> ArcSoft
2006-12-22 16:38 <REP> ATI
2007-04-03 14:25 <REP> Command & Conquer 3 Tiberium Wars Demo
2006-12-24 16:48 <REP> DivX
2006-12-22 16:23 <REP> Identities
2007-03-02 16:30 <REP> InstallShield
2007-04-09 10:30 <REP> Leadertech
2006-12-22 17:01 <REP> Macromedia
2007-04-02 22:42 <REP> MailFrontier
2006-12-22 16:23 <REP> Microsoft
2006-12-22 16:50 <REP> Mozilla
2007-01-16 01:42 <REP> Sun
2006-12-22 17:05 <REP> teamspeak2
2007-07-13 19:13 <REP> Turbine
2007-01-31 13:21 <REP> Ventrilo
2006-12-23 18:03 <REP> vlc
2006-12-22 16:23 62 desktop.ini
2007-02-03 13:13 20 312 GDIPFONTCACHEV1.DAT
2 fichier(s) 20 374 octets
20 Rép(s) 65 150 300 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\Julien\Local Settings\Application Data

2006-12-22 16:23 <REP> .
2006-12-22 16:23 <REP> ..
2007-01-04 21:38 <REP> Adobe
2006-12-22 17:33 <REP> Apple Computer
2006-12-22 16:38 <REP> ApplicationHistory
2006-12-22 16:38 <REP> ATI
2007-05-24 12:22 <REP> capcom
2006-12-22 16:52 <REP> Identities
2007-01-22 16:56 <REP> Logitech-LS
2006-12-22 16:23 <REP> Microsoft
2006-12-22 16:50 <REP> Mozilla
2007-07-13 19:04 <REP> Turbine
2007-06-17 18:04 <REP> WMTools Downloaded Files
2006-12-23 16:49 25 088 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2006-12-22 16:38 129 fusioncache.dat
2006-12-22 16:38 34 440 GDIPFONTCACHEV1.DAT
2006-12-22 16:27 4 290 500 IconCache.db
4 fichier(s) 4 350 157 octets
13 Rép(s) 65 150 300 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\LocalService\Application Data

2006-12-22 16:22 <REP> .
2006-12-22 16:22 <REP> ..
2006-12-22 16:22 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 65 150 300 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

2006-12-22 16:22 <REP> .
2006-12-22 16:22 <REP> ..
2006-12-22 16:22 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 65 150 296 064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\NetworkService\Application Data

2006-12-22 16:22 <REP> .
2006-12-22 16:22 <REP> ..
2006-12-22 16:22 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 65 150 296 064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

2006-12-22 16:22 <REP> .
2006-12-22 16:22 <REP> ..
2006-12-22 16:22 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 65 150 296 064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Documents and Settings\Sophie

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

2006-12-22 16:21 <REP> .
2006-12-22 16:21 <REP> ..
2006-12-22 16:21 <REP> Microsoft
2006-12-22 16:21 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 65 150 296 064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

2006-12-22 16:21 <REP> .
2006-12-22 16:21 <REP> ..
2006-12-23 19:42 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 65 150 296 064 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
s €!× ) : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - t a s k S Y S T E M 0 × ) @
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 40C2-2687

Répertoire de C:\Program Files

2007-08-05 18:31 <REP> .
2007-08-05 18:31 <REP> ..
2007-04-04 10:15 <REP> Activision
2007-06-25 09:42 <REP> Adobe
2007-06-17 12:22 <REP> Adverts
2006-12-22 17:07 <REP> Alwil Software
2007-08-05 16:40 <REP> Apple Software Update
2006-12-22 16:36 <REP> ATI Technologies
2006-12-22 16:30 <REP> AvRack
2007-04-26 20:01 <REP> BitComet
2006-12-31 16:52 <REP> Blaze Audio
2006-12-23 14:30 <REP> BSplayer_WhenUSave_Installer
2007-02-11 11:10 <REP> CCP
2007-05-27 12:21 <REP> Cheewoo
2006-12-22 16:18 <REP> ComPlus Applications
2006-12-23 14:16 <REP> DivX
2007-03-30 16:08 <REP> EA GAMES
2007-04-03 14:23 <REP> Electronic Arts
2007-08-03 00:11 <REP> Fichiers communs
2007-06-17 17:39 <REP> Game Cam v1.4
2007-06-17 12:22 <REP> great proc
2006-12-23 18:05 <REP> Grisoft
2007-08-05 18:31 <REP> Hijackthis Version Française
2007-07-13 19:00 <REP> Internet Explorer
2007-08-05 16:40 <REP> iPod
2007-08-05 16:40 <REP> iTunes
2007-08-05 16:40 <REP> iTunes(2)
2006-12-23 15:40 <REP> Java
2007-04-23 09:31 <REP> La Quatrième Prophétie
2006-12-23 14:05 <REP> LimeWire
2007-03-02 17:28 <REP> Lineage II
2006-12-28 15:58 <REP> Logitech
2007-05-10 10:50 <REP> Medieval II Total War
2006-12-24 01:11 <REP> Messenger
2007-06-17 12:22 <REP> Messenger Plus! Live
2007-03-12 18:03 <REP> MessengerPlus! 3
2007-05-08 13:54 <REP> Microsoft CAPICOM 2.1.0.2
2006-12-22 16:20 <REP> microsoft frontpage
2006-12-28 17:34 <REP> Microsoft Office
2007-03-12 18:34 <REP> Microsoft Windows Script
2007-04-07 19:44 <REP> Movie Maker
2007-07-31 02:30 <REP> Mozilla Firefox
2006-12-22 16:17 <REP> MSN
2006-12-22 16:17 <REP> MSN Gaming Zone
2007-06-17 12:22 <REP> MSN Messenger
2007-03-20 16:57 <REP> MSXML 4.0
2006-12-23 19:23 <REP> NetMeeting
2007-02-25 20:23 <REP> NEXON
2007-06-13 08:31 <REP> Outlook Express
2007-08-05 16:40 <REP> QuickTime
2006-12-22 16:30 <REP> Realtek Sound Manager
2007-07-29 17:53 <REP> RegClean
2007-03-19 13:21 <REP> Samsung
2006-12-26 16:09 <REP> SanDisk
2007-05-01 19:11 <REP> SEGA
2006-12-22 16:17 <REP> Services en ligne
2007-06-19 10:55 <REP> Spybot - Search & Destroy
2007-08-05 01:18 <REP> Steam
2007-08-05 18:08 <REP> StepMania
2006-12-22 17:05 <REP> Teamspeak2_RC2
2007-07-13 18:38 <REP> Turbine
2007-04-20 17:19 <REP> Ventrilo
2006-12-23 14:33 <REP> VideoLAN
2007-03-20 22:19 <REP> VirtualDJ
2006-12-23 14:30 <REP> Webteh
2007-06-17 12:22 <REP> Windows Live
2007-03-12 19:14 <REP> Windows Live Toolbar
2006-12-26 16:12 <REP> Windows Media Player
2006-12-23 19:23 <REP> Windows NT
2007-03-02 15:01 <REP> WinRAR
2007-03-02 15:01 <REP> WinZip
2007-08-02 18:30 <REP> World of Warcraft
2006-12-22 16:20 <REP> xerox
2006-12-23 23:20 <REP> Zone Labs
0 fichier(s) 0 octets
74 Rép(s) 65 150 279 680 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
zonenxt.msn-int.com REG_BINARY
zonenxt.msn-ppe.com REG_BINARY
zone.msn.com REG_BINARY
*.decclic.qc.ca REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\JULIEN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\9H9ZEPDR.DEFAULT\HOSTPERM.1
host popup 1 lms.decclic.qc.ca
host popup 1 www.manowar.com
host popup 1 www.grandprix.ca
host popup 1 lms2.decclic.qc.ca

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
6 Août 2007 02:03:41

Y a-t-il un signe d'infection cette fois-ci?
6 Août 2007 02:37:55

Deplus, grâce à Avast, j'ai pu trouver 2 de ses cachettes (il y en a peut-être d'autre que je ne connais pas).

Les voicis : C:\Documents and Settings\All Users\Application Data\Sect Regs Amen Start\1 Download.exe

C:\Documents and Settings\André\Application Data\great proc\cjjzzsxd.exe
6 Août 2007 06:22:54

Je viens de terminer un scan Kaspersky et sans faire exprès j'ai fermé le report juste après l,avoir sauvé. Il à trouvé 2 virus et 11 fichiers infectés. Les trois première lignes de la listes sont les suivantes :

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\André\Application Data\great proc\settings bolt grim save.exe Infected: Trojan.Win32.Obfuscated.en skipped
C:\Documents and Settings\André\Application Data\great proc\start window show.exe Infected: Trojan.Win32.Obfuscated.en skipped
C:\Documents and Settings\André\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\game.class-506f6b50-4f78bbec.class Infected: Exploit.Java.Gimsh.a skipped
6 Août 2007 20:47:59

Bonjour


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\Documents and Settings\All Users\Application Data\Sect Regs Amen Start
C:\Documents and Settings\André\Application Data\great proc
C:\Program Files\Adverts
C:\Program Files\great proc
C:\Documents and Settings\André\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\game.class-506f6b50-4f78bbec.class


Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.


Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
7 Août 2007 05:32:41

Et voici le rapport :

C:\Documents and Settings\All Users\Application Data\Sect Regs Amen Start moved successfully.
C:\Documents and Settings\André\Application Data\great proc moved successfully.
C:\Program Files\Adverts moved successfully.
C:\Program Files\great proc moved successfully.
C:\Documents and Settings\André\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\game.class-506f6b50-4f78bbec.class moved successfully.

Created on 08-06-2007 23:31:42
7 Août 2007 11:57:39

Bonjour


Du ménage de fait.


Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse
7 Août 2007 17:40:11

Voila le rapport =) :

l ComboFix 07-08-04.3 - "Julien" 2007-08-07 11:35:11.1 [GMT -4:00] - NTFS
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.Vrai
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\W007T32W.DLL


((((((((((((((((((((((((( Files Created from 2007-07-07 to 2007-08-07 )))))))))))))))))))))))))))))))


2007-08-07 11:34 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-06 14:02 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-08-05 18:31 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-05 16:40 <REP> d-------- C:\Program Files\iTunes
2007-08-03 00:15 <REP> d-------- C:\Program Files\iTunes(2)
2007-08-03 00:11 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2007-08-02 18:48 4,718,592 --a------ C:\DOCUME~1\Julien\ntuser.dat
2007-07-29 17:45 <REP> d-------- C:\Program Files\RegClean
2007-07-27 01:39 59,904 --a------ C:\WINDOWS\system32\Mscc2fr.dll
2007-07-27 01:39 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL
2007-07-27 01:39 21,504 --a------ C:\WINDOWS\system32\TABCTFR.DLL
2007-07-27 01:39 15,360 --a------ C:\WINDOWS\system32\inetfr.DLL
2007-07-27 01:39 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2007-07-27 01:39 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2007-07-27 01:39 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2007-07-26 03:40 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-13 19:13 <REP> d-------- C:\DOCUME~1\Julien\APPLIC~1\Turbine
2007-07-13 18:38 <REP> d-------- C:\Program Files\Turbine
2007-07-12 03:12 81,920 --a------ C:\WINDOWS\system32\frapsvid.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-07 01:05 --------- d-------- C:\Program Files\Steam
2007-08-06 14:04 --------- d-------- C:\Program Files\iPod
2007-08-06 14:03 --------- d-------- C:\Program Files\Apple Software Update
2007-08-05 20:23 --------- d-------- C:\Program Files\StepMania
2007-08-05 16:40 --------- d-------- C:\Program Files\QuickTime
2007-08-02 18:30 --------- d-------- C:\Program Files\World of Warcraft
2007-07-31 21:37 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-07-27 18:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-27 18:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-27 18:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-27 18:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 17:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 17:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 17:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-13 19:01 63854 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-07-13 19:01 445434 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-06-25 08:59 512 --a------ C:\drmHeader.bin
2007-06-19 11:32 --------- d-------- C:\Program Files\Fichiers communs\MAGIX Shared
2007-06-17 17:39 --------- d-------- C:\Program Files\Game Cam v1.4
2007-06-17 12:22 --------- d-------- C:\Program Files\Windows Live
2007-06-17 12:22 --------- d-------- C:\Program Files\MSN Messenger
2007-06-17 12:22 --------- d-------- C:\Program Files\Messenger Plus! Live
2007-06-15 11:45 --------- d-------- C:\DOCUME~1\Julien\APPLIC~1\Apple Computer
2007-06-12 17:54 --------- d-------- C:\DOCUME~1\Julien\APPLIC~1\teamspeak2
2007-05-16 11:13 86528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 11:13 85504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 11:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 11:13 683520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 11:13 510976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 11:13 1314816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll
2007-05-14 22:08 20312 --a------ C:\DOCUME~1\Julien\APPLIC~1\GDIPFONTCACHEV1.DAT
2007-05-08 04:59 3583488 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll
--------- C:\Program Files\Hijackthis Version Française


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 06:20 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-24 22:10]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2004-11-25 01:27]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-27 18:03]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 12:52]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 18:47]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 18:37]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" []
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-31 18:44]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-10-13 12:24]
"Steam"="" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ATI CATALYST System Tray.lnk - C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe [2004-11-25 01:27:20]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 11:01:04]

R1 StarOpen;StarOpen;C:\WINDOWS\system32\drivers\StarOpen.sys
R2 AVWEBCAM;AV WebCam, WDM Video Capture;C:\WINDOWS\system32\DRIVERS\avwebcam.sys
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft;C:\WINDOWS\system32\drivers\msmpu401.sys
R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys
S3 pepifilter;Volume Adapter;C:\WINDOWS\system32\DRIVERS\lv302af.sys
S3 PID_08A0;QuickCam IM(PID_08A0);C:\WINDOWS\system32\DRIVERS\LV302AV.SYS
S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ssm_bus.sys
S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys
S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys


Contents of the 'Scheduled Tasks' folder
2007-08-06 18:03:20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-07 11:38:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-07 11:39:45
C:\ComboFix-quarantined-files.txt ... 2007-08-07 11:39

--- E O F ---
8 Août 2007 07:25:54

Bon, je ne peux pas scanner car un message me dit que le site ne peut pas hoster les activeX alors j'imagine que je dois laisser passer ce scan, dsl =S.
8 Août 2007 18:14:48

Bonjour


Refais un scan sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS