bonjour , en faisant un scan Spybot j'ai découvert le trojan win32.Banker.fgv ( 6 éléments ) et je commence à m'inquieter d'après ce que j'ai lu sur ce virus , spyybot n'arrive pas a le supprimer . je sollicite votre aide poour l'éradiquer
=> juste une petite question pour commencer , le trojan s'active tout seul et vol tous les mots de passe du pc ? qu'en est-il des mots de passes non enregistrès et tape chaque jour ? le trojan est-il vraiment dangereux ?
=> j'utilise avast ( à jour ) comme antivirus , Spybot n'arrive pas a le supprimer
.Rapport HijackThis :Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:28:36, on 30/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Razer\Tarantula\razerhid.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Razer\DeathAdder\razertra.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\Razer\Tarantula\razertra.exe
C:\Program Files\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\mIRC\mirc.exe
C:\Documents and Settings\TakeOver!\Mes documents\Gapa\gapa\gapa.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Program Files\ASUS\AASP\1.00.33\aaCenter.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mumble\dbus-daemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Program Files\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DelReg] C:\Program Files\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA105] command /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6048] cmd /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5189] command /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3559] cmd /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6548] command /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4057] cmd /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9534] command /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4358] cmd /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8758] command /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4557] cmd /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9286] command /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC830] cmd /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB5480] command /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9339] cmd /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7128] command /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3857] cmd /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9872] command /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5391] cmd /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7387] command /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9546] cmd /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6102] command /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1929] cmd /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2513] command /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1145] cmd /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DualCoreCenter.lnk = C:\Program Files\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) -
http://messenger.zone.msn.com/binary/ms ... b56986.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://www.update.microsoft.com/microso ... 7405803171O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) -
http://www.kodakgallery.fr/downloads/BU ... ofupld.cabO16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) -
http://download.eset.com/special/eos/OnlineScanner.cabO16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) -
https://www.virginmega.fr/DownloadManag ... ownMan.cabO16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/Me ... b56907.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload2.macromedia.com/get/s ... wflash.cabO23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-aware Service (aawservice) - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
--
End of file - 10218 bytes
.scan ESET :C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv1.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv2.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv3.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv4.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv5.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\TakeOver!\Local Settings\Application Data\Mozilla\Firefox\Profiles\w0a12q2a.default\Cache(3)\01073C12d01 menaces multiples supprimé - mis en quarantaine
C:\Documents and Settings\TakeOver!\Mes documents\x-ray.plsc JS/Agent.A cheval de troie supprimé - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP153\A0062316.exe Win32/Shutdown.NAA application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP153\A0062319.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP153\A0062332.exe menaces multiples supprimé - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP154\A0063512.exe une variante de Win32/PTCasino application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP161\A0065563.exe menaces multiples supprimé - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP161\A0065577.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP161\A0065580.exe Win32/Shutdown.NAA application nettoyé par suppression - mis en quarantaine
.scan Malwarebytes :Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3453
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
30/12/2009 05:31:18
mbam-log-2009-12-30 (05-31-18).txt
Type de recherche: Examen rapide
Eléments examinés: 102845
Temps écoulé: 3 minute(s), 41 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Merci , et bonnes fêtes ;
cordialement,
evilop.
