cheval de troie ftpdrv.dll troj agent

cheval de troie ftpdrv.dll troj agent - Sécurité - Windows & Software

Marsh Posté le 16-04-2005 à 17:03:16    

J'ai récupérer un cheval de troie du nom de ftpdrv.dll, qui a été se glisser dans le rep registration de Windows, ainsi qu'un autre virus du nom de BKDR SMALL.AI.
BKDR SMALL a visiblement été suprimé par mon anti virus Trend micro Internet sécu, en revanche pour ftpdrv, rien à faire.
Le nom du virus semble être TROJ AGENT.FZ.
Je suis franchement perdu, hijack me donne le log suivant :
 
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.EXE
C:\Program Files\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Documents and Settings\ALICE et OCEA\Mes documents\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/040C/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/040C/bl7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr" ); (C:\Documents and Settings\ALICE et OCEA\Application Data\Mozilla\Profiles\default\ja4ceh5x.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\ALICE et OCEA\Application Data\Mozilla\Profiles\default\ja4ceh5x.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Registration\ftpdrv.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6295842078
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4483401-9674-4194-A7F9-43B2276590DE}: NameServer = 212.27.32.177,213.228.0.212
O20 - Winlogon Notify: ftpdrv - C:\WINDOWS\Registration\ftpdrv.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
 
J'ai essayé de supprimer le fichier en mode sans echec , mais il est en cours d'utilisation malgre un fix avec hijackthis !!
 
Si une âme charitable avait qqs infos ou conseils, merci !

Reply

Marsh Posté le 16-04-2005 à 17:03:16   

Reply

Marsh Posté le 16-04-2005 à 17:23:26    

j'ai la mêm chose et il me fou plein de merde !!!
il infecte plein de truc et impossible de le déloger :(
 
nod 32 me le bloque mais ne sais rien faire !
heeeeeeeeeeeelp

Reply

Marsh Posté le 16-04-2005 à 18:07:08    

faudrai un logiciel qui le vire avant le demarrage de windows.
ou en demarrant en mode dos, tu pourrais essayer de l'effacer manuellement ?


Message édité par mime159 le 16-04-2005 à 18:07:36
Reply

Marsh Posté le 16-04-2005 à 18:09:52    

et dans hijackthis tu as essayé de cocher les lignes à problemes et de faire fix checked ?


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 16-04-2005 à 18:34:33    

com21 a écrit :

et dans hijackthis tu as essayé de cocher les lignes à problemes et de faire fix checked ?


 
c'est quoi ça ??

Reply

Marsh Posté le 16-04-2005 à 18:42:39    

je parle à fredo28
 
et sinon voila le tuto pour hijackthis : http://forum.hardware.fr/hardwaref [...] 1913-1.htm


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 16-04-2005 à 18:54:30    

ashram22 a écrit :

c'est quoi ça ??


 
c un logiciel qui marque tout se qui est lancer sur ton pc, puis en mettant ce qui te donne sur http://www.hijackthis.de/ on peut voir se qui est mauvais puis virer les mauvaises ligne sur son ordi


Message édité par mime159 le 16-04-2005 à 18:55:01

---------------
On the road again !!!
Reply

Marsh Posté le 16-04-2005 à 19:08:39    

mime159 a écrit :

c un logiciel qui marque tout se qui est lancer sur ton pc, puis en mettant ce qui te donne sur http://www.hijackthis.de/ on peut voir se qui est mauvais puis virer les mauvaises ligne sur son ordi


 
 
oui merci, j'ai été voir le topic concerné et DL le logiciel maisje n'y comprend pas grand chose... c'est pas gagné je crois  :pfff:

Reply

Marsh Posté le 16-04-2005 à 19:11:06    

Faut lire la premiere page du topic


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 16-04-2005 à 21:09:10    

:??:  y a rien de bien difficile, tu choisi "scan" et le resultat tu le copie (en selectionant avec la souris) puis tu colles sur le site que je t'ai donner ou sur le forum puis tu vois le ligne qu'il faut virer en cochant les petites cases dans ton logiciel
 
bon j'arrete maintenant car ce n'est pas le but de ce topic d'expliquer comment ce marche mais plutot de virer ce trojan de m**de qui a pas l'air evident

Reply

Marsh Posté le 16-04-2005 à 21:09:10   

Reply

Marsh Posté le 17-04-2005 à 10:38:15    

Je vais essayer en mode DOS mais rien à faire, il a l'air de se charger vraiment au démarrage! Est il possible qu'il soit dans le BIOS ???
Pour l'instant je végéte grave !
Concernant mon fix sur hijack j'ai selectionné les lignes :
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Registration\ftpdrv.dll  
 
et
 
O20 - Winlogon Notify: ftpdrv - C:\WINDOWS\Registration\ftpdrv.dll  
 
je les aie fixé mais il n'y a rien à faire, ceci dit je ne suis pas un pro de hijackthis, il faut peut être fixer d'autre truc ??
 
merci de votre aide.

Reply

Marsh Posté le 17-04-2005 à 10:47:32    

les lignes avec req.dat  aussi sont à virer je pense. la 02 et la 020


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 17-04-2005 à 11:49:43    

mime159 a écrit :

:??:  y a rien de bien difficile, tu choisi "scan" et le resultat tu le copie (en selectionant avec la souris) puis tu colles sur le site que je t'ai donner ou sur le forum puis tu vois le ligne qu'il faut virer en cochant les petites cases dans ton logiciel
 
bon j'arrete maintenant car ce n'est pas le but de ce topic d'expliquer comment ce marche mais plutot de virer ce trojan de m**de qui a pas l'air evident


 
bon, ben après compréhention du logiciel, j'ai viré tt ce qui était merdique mais j'avais les à 0 23 qui revenait à chaque fois !!
j'ai essayer de réinstaler xp, ça plantait... :fou:  
 
j'ai enfin réussi à le lancer en mode sans échec puis je suis retourné un mois en arrière pour reprendre une ancienne sauvegarde et maintenant, la crasse à disparu !
elle était logée ds le système  et changeait de nom et d'endroit sans arrêt !
une vraie crasse... mais bon, ça y est, j'en suis quitte ;)

Reply

Marsh Posté le 17-04-2005 à 16:06:23    

c'est tout con,
les hijack se planque dans le system32
il suffit de repérer les fichiers infectés en trouvant par exemple les raccourcis qui sont également présents sur le bureau
ça te donne la date de création et il reste plus qu'à virer tous les fichiers de cette date
pour les fichiers récalcitrants
il faut utiliser copylock dispo gratuitement sur clubic
il va faire redémarrer le pc pour pouvoir effacer
j'en ai chier ce matin pour trouver la soluce quand même
tous les logiciels que j'ai pu tester ne font pas effet

Reply

Marsh Posté le 17-04-2005 à 16:45:45    

avant, j'avais norton...
je l'ai viré parce que bcp trop lourd, laisse passer plein de crasses.
 
j'ai mis nod 32 que j'ai eu à un pote et bardam, je vois que ça va pas mieux !!!
 
c'est dingue, pourquoi est ce que ils ne sont pas fichu de les bloquer ou les éliminer plutôt que de bêtement me le signaler et de laisser le pc se contaminer !
j'ai perdu une journée complête à cause de ce satané cheval de troie  :fou:

Reply

Marsh Posté le 17-04-2005 à 16:55:05    

tu as cette ligne la aussi a virer:
 
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

Reply

Marsh Posté le 17-04-2005 à 17:01:06    

si c'est pour expliquer les lignes à virer allez sur  
http://www.hijackthis.de/fr
c'est pas sorcier quand même
encore des messages pour rien..

Reply

Marsh Posté le 17-04-2005 à 20:08:07    

J'ai bien fixé les lignes avec le stmain.dll ainsi que le req32 + les précédentes.
que dois je faire maintenant ?
démarrer en mode sans échec et tenter une suppression manuelle  ?
 
Je retrouve maintenant des traces de Troj agent dans des fichiers "backups"
 
merci

Reply

Marsh Posté le 17-04-2005 à 20:17:39    

blackhawker a écrit :

si c'est pour expliquer les lignes à virer allez sur  
http://www.hijackthis.de/fr
c'est pas sorcier quand même
encore des messages pour rien..


 l'analyseur en ligne sort pas mal de conneries ;)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 17-04-2005 à 20:18:40    

fredo 38 a écrit :

J'ai bien fixé les lignes avec le stmain.dll ainsi que le req32 + les précédentes.
que dois je faire maintenant ?
démarrer en mode sans échec et tenter une suppression manuelle  ?
 
Je retrouve maintenant des traces de Troj agent dans des fichiers "backups"
 
merci


 
reposte un log tout d'abord. Et c'est ton antivirus qui trouve des traces du trojan dans les backups (restauration système)?


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 17-04-2005 à 20:29:05    

fredo 38 a écrit :

J'ai bien fixé les lignes avec le stmain.dll ainsi que le req32 + les précédentes.
que dois je faire maintenant ?
démarrer en mode sans échec et tenter une suppression manuelle  ?
 
Je retrouve maintenant des traces de Troj agent dans des fichiers "backups"
 
merci


 
 
je viens d'avoir exactement la même chose !!!
 
j'ai passé un scan complêt ce matin, et il n'a rien trouvé puis tout d'un coup, nod 32 m'a prévenu de:
 
fichier C:\System Volume Information\_restore{B9D2E520-69F7-4660-ACFC-0FA1F927DE5D}\RP423\A0061173.exe Win32/Agent.NAB cheval de Troie supprimé AUTORITE NT\SYSTEM
 
je ne comprend pas  :fou:  
surtout que je ne sais pas accéder à ce C:\System Volume Information; il n'est même pas accessible même enn mettant les fichier caché !!!

Reply

Marsh Posté le 17-04-2005 à 20:53:20    

en fait il faudrait désactiver la restauration système, mais il faut savoir que cela vous fera perdre tous les points de restauration jusqu'à la date d'aujourd'hui [:spamafote]


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 17-04-2005 à 20:58:11    

minipouss a écrit :

en fait il faudrait désactiver la restauration système, mais il faut savoir que cela vous fera perdre tous les points de restauration jusqu'à la date d'aujourd'hui [:spamafote]


 
 
oula, ça c'est vachement risqué dans mon cas !!  :ouch:

Reply

Marsh Posté le 17-04-2005 à 21:15:01    

bah c'est le seul moyen de ne plus avoir cette merde sur le pc. mais bon je n'ai pas XP donc peut-être existe-t-il une possibilité de virer telle ou telle restauration, je ne pense pas mais qui sait :D Bilou a peut-être pensé à ça [:ddr555]


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 17-04-2005 à 21:23:07    

minipouss a écrit :

bah c'est le seul moyen de ne plus avoir cette merde sur le pc. mais bon je n'ai pas XP donc peut-être existe-t-il une possibilité de virer telle ou telle restauration, je ne pense pas mais qui sait :D Bilou a peut-être pensé à ça [:ddr555]


 
je viens d'essayer... apparemment, iol n'y a pas moyen mais bon, nod32 me dit qu'il a supprimé !
 
ce qui me tracasse c'est que si ce "agent" à pu s'infiltrer qq part, il est peut être enfui là ou nod32 ne le détecte pas !
je devrais faire une analyse par un anti virus en ligne...
 
au fait, comment ça se fait que je ne sais pas accéder à C:\System Volume Information\ ???

Reply

Marsh Posté le 17-04-2005 à 21:32:46    

parce que c'est réservé à la restauration je pense
 
oui essaye des antivirus en ligne (tu auras divers liens dans le premier topic de ma signature ;) )


Message édité par minipouss le 17-04-2005 à 21:33:07

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 17-04-2005 à 22:35:56    

minipouss a écrit :

parce que c'est réservé à la restauration je pense
 
oui essaye des antivirus en ligne (tu auras divers liens dans le premier topic de ma signature ;) )


 
je viens d'avoir une deuxième alerte... :(
je m'occuperai de ça demain si j'ai le temps mais si ce cheval n'est que ds un fichier accessible par la restauration... aucun antivirus ne le trouvera et ne saura le déloger complêtement alors  :??:  
 
même en passant un coup de "hijackthis", il n'y apparait pas  :fou:  
 

Reply

Marsh Posté le 17-04-2005 à 22:43:04    

il faut que tu efface tes points de restauration en désactivant le systeme de restauration !


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 17-04-2005 à 22:48:20    

com21 a écrit :

il faut que tu efface tes points de restauration en désactivant le systeme de restauration !


 
mais si je fais ça, il n'y a plus aucun moyen de retourner en arrière alors ?
 
je veux dire, ce qui m'a sauvé ds le cas de ma contamination, c'est de prendre un point restore d'il y a un mois et de le faire en mode sans échec !
 
si je supprime les points de restauration, je repart à zéro ?
dans les paramètres de restauration, il y a bien l'option désactiver mais cela va la désactiver dans le futuir (il ne le fera plus je veux dire) mais comment éliminer ce que win à encore en mémoire ?

Reply

Marsh Posté le 17-04-2005 à 22:52:07    

quand tu désactive ça efface tout.
 
 
Qui te dis que ton point restore d'il y a un mois n'est pas contaminé ?


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 17-04-2005 à 22:52:09    

1000 excuses, j'ai trouvé ce lien: http://www.libellules.ch/desactiver_restauration.php
 
je vais tenter l'opération !

Reply

Marsh Posté le 17-04-2005 à 22:57:03    

com21 a écrit :

quand tu désactive ça efface tout.
 
oui merci, je l'ai lu :)
 
Qui te dis que ton point restore d'il y a un mois n'est pas contaminé ?
 
 
alors cette crasse est là depuis longtemps... je vais faire ça !


 
merci à tous pour votre aide  :jap: , je viens de supprimer les anciens points de restauration puis redémarrer la machine, le remetre puis la relancer de nouveau.
 
je lance nod32 en analyse très approfondie avec sensibilité maximum (c'est aussi depuis que j'ai mis ça qu'il ma trouvé "agent" ds mon point de restauration) et je croise les doigts.


Message édité par ashram22 le 17-04-2005 à 23:11:25
Reply

Marsh Posté le 18-04-2005 à 08:31:05    

de rien :)
 
ça marche toujours ce matin? :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 18-04-2005 à 11:52:33    

minipouss a écrit :

de rien :)
 
ça marche toujours ce matin? :D


 
oui, j'ai fait des tests très poussés avec pestpatrol et nod32 et tout est ok !
nod 32 ne m'a plus jamais prévenu de quoi que ce soit donc je croise les doigts mais ça devrait aller  :p  
 
merci en tt cas, ça fait plaisir de gars se décarcasser pour les autres  ;)  

Reply

Marsh Posté le 18-04-2005 à 12:14:03    

la routine [:ddr555]


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 18-04-2005 à 12:20:21    

c'est ton boulot ?
parce que j'ai un peu regardé tes posts... c'est hard pour moi  :ouch:  
 
je me demande si je ne devrait pas prendre un mac qd je vois tt ces fous qui polluent partout !

Reply

Marsh Posté le 18-04-2005 à 13:12:29    

ça commence à arriver aussi pour Mac :D
 
non c'est pas mon job du tout, juste un amusement.


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 18-04-2005 à 16:50:02    

Bonjour à tous,
J'ignore si je suis vraiment dans le bon forum, mais je ne suis pas du tout informaticien, alors d'avance pardon:-)
Mon PC a attrappé ADW ADMILLI.A et BKDR SMALL.AI qui se trouvent dans un fichier de program files nommé adstatusComm.dll
Ainsi que SPYW.NETVZRVW et TROJ DROPPER.BR qui se trouvent dans C\windows\unvise32.exe
Mon AV les localise, mais à chaque fois ils reviennent actifs.
Impossible de les trouver avec Spyware ni avec Spybot. Ca semble bien accroché dans les dossiers.
Il semble que ce soit ces parasites qui me gènent pour travailler (problèmes avec les liens)
Un avis autorisé d'expert ????
D'avance merci
EM  
 

Reply

Marsh Posté le 18-04-2005 à 17:51:46    

récupère Hijack This et poste ton rapport ici ;)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 18-04-2005 à 23:14:58    

Voila le nouveau log :
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\pccguide.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\Documents and Settings\ALICE et OCEA\Mes documents\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/040C/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/040C/bl7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr" ); (C:\Documents and Settings\ALICE et OCEA\Application Data\Mozilla\Profiles\default\ja4ceh5x.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\ALICE et OCEA\Application Data\Mozilla\Profiles\default\ja4ceh5x.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Registration\ftpdrv.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6295842078
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4483401-9674-4194-A7F9-43B2276590DE}: NameServer = 212.27.32.177,213.228.0.212
O20 - Winlogon Notify: ftpdrv - C:\WINDOWS\Registration\ftpdrv.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
 
 
D'apres l'évaluation faite sur http://www.hijackthis.de/index.php#anl, j'ai effectivement qq merdes. J'ai fixé tous les points noirs  
 
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Registration\ftpdrv.dll
O20 - Winlogon Notify: ftpdrv - C:\WINDOWS\Registration\ftpdrv.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat
 
 
et tester les douteux,
 
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe, testé sur anti virus OK
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe, testé sur anti virus OK
 
et essayé de redémarrer en mode sans echec mais les fichiers sont toujours en cours d'utilisation (la restauration de windows est désactivée).
 
Je suis vraiment dans le panade, j'y comprends plus rien !
:cry:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed