Il y a actuellement 219 visiteurs
Jeudi 28 Mars 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

[Resolu]Trojan win32.Banker.fgv

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

[Resolu]Trojan win32.Banker.fgv

Message le 30 Déc 2009 14:13

bonjour , en faisant un scan Spybot j'ai découvert le trojan win32.Banker.fgv ( 6 éléments ) et je commence à m'inquieter d'après ce que j'ai lu sur ce virus , spyybot n'arrive pas a le supprimer . je sollicite votre aide poour l'éradiquer

=> juste une petite question pour commencer , le trojan s'active tout seul et vol tous les mots de passe du pc ? qu'en est-il des mots de passes non enregistrès et tape chaque jour ? le trojan est-il vraiment dangereux ?

=> j'utilise avast ( à jour ) comme antivirus , Spybot n'arrive pas a le supprimer

.Rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:28:36, on 30/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Razer\Tarantula\razerhid.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Razer\DeathAdder\razertra.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\Razer\Tarantula\razertra.exe
C:\Program Files\MSI\DualCoreCenter\DualCoreCenter.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\mIRC\mirc.exe
C:\Documents and Settings\TakeOver!\Mes documents\Gapa\gapa\gapa.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Program Files\ASUS\AASP\1.00.33\aaCenter.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mumble\dbus-daemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Tarantula] C:\Program Files\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DelReg] C:\Program Files\MSI\DualCoreCenter\DelReg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA105] command /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6048] cmd /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5189] command /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3559] cmd /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6548] command /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4057] cmd /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9534] command /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4358] cmd /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8758] command /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4557] cmd /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9286] command /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC830] cmd /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB5480] command /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9339] cmd /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7128] command /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3857] cmd /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9872] command /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5391] cmd /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7387] command /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9546] cmd /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6102] command /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1929] cmd /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2513] command /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1145] cmd /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DualCoreCenter.lnk = C:\Program Files\MSI\DualCoreCenter\StartUpDualCoreCenter.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 7405803171
O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.fr/downloads/BU ... ofupld.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega.DMFacade.Interface) - https://www.virginmega.fr/DownloadManag ... ownMan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-aware Service (aawservice) - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 10218 bytes

.scan ESET :


C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv1.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv2.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv3.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv4.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv5.zip Win32/Bagle.gen.zip ver nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\TakeOver!\Local Settings\Application Data\Mozilla\Firefox\Profiles\w0a12q2a.default\Cache(3)\01073C12d01 menaces multiples supprimé - mis en quarantaine
C:\Documents and Settings\TakeOver!\Mes documents\x-ray.plsc JS/Agent.A cheval de troie supprimé - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP153\A0062316.exe Win32/Shutdown.NAA application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP153\A0062319.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP153\A0062332.exe menaces multiples supprimé - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP154\A0063512.exe une variante de Win32/PTCasino application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP161\A0065563.exe menaces multiples supprimé - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP161\A0065577.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP161\A0065580.exe Win32/Shutdown.NAA application nettoyé par suppression - mis en quarantaine

.scan Malwarebytes :

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3453
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/12/2009 05:31:18
mbam-log-2009-12-30 (05-31-18).txt

Type de recherche: Examen rapide
Eléments examinés: 102845
Temps écoulé: 3 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci , et bonnes fêtes ;

cordialement,

evilop.
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 


Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 16:19

Bonjour

Relance HijackThis >puis : Do a system scan only > coche ces lignes: ensuite valides sur Fix checked


O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\RunOnce: [SpybotDeletingA105] command /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6048] cmd /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5189] command /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3559] cmd /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6548] command /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4057] cmd /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9534] command /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4358] cmd /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8758] command /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4557] cmd /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9286] command /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC830] cmd /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB5480] command /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9339] cmd /c del "C:\WINDOWS\system32\404Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7128] command /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3857] cmd /c del "C:\WINDOWS\system32\Agent.OMZ.Fix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9872] command /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5391] cmd /c del "C:\WINDOWS\system32\o4Patch.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7387] command /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9546] cmd /c del "C:\WINDOWS\system32\IEDFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6102] command /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1929] cmd /c del "C:\WINDOWS\system32\IEDFix.C.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2513] command /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1145] cmd /c del "C:\WINDOWS\system32\VACFix.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')


Ensuite spybot a bloqué temporairement beagle donc fait ceci.

1-Supprimes le crack en cause.

Téléchargeable ici : FindyKill

***Si tu es sous Vista (à exécuter en tant qu'administrateur)

Laisse l’installation se faire avec les paramètres affichés par défaut.

Branche les sources de données externes à son PC, (clé USB, disque dur externe, etc...)

* Double cliquer sur le raccourci FindyKill sur ton le bureau :Image

Au menu principal, choisir l'option 1 (Recherche)
Image

*** Laisser le travail de recherche s’effectuer.

***Appuyer sur une touche pour faire apparaitre le rapport, quand tu en auras la demande.

Le rapport est en outre sauvegardé à la racine du disque C:\ FindyKill.txt


Poste le rapport ici:
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 17:13

voici le rapport :
############################## | FindyKill V5.022 |

# User : TakeOver! (Administrateurs) # TO-6FEB0F5B1027
# Update on 24/12/2009 by Chiquitine29
# Start at: 16:28:59 | 30/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1368 [VPS 091230-0] 4.8.1368 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 232,88 Go (79,9 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 149,01 Go (81,91 Go free) [My Passport] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\TakeOver!\Application Data |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"E:\All of the game\Nouveau dossier\keygen.exe"
23/04/2007 11:22 |Size 58368 |Crc32 fd93701a |Md5 9efc5eb08a759741ca88a4c5127f9de2

"E:\doc_papa\disque 1\Nouveau dossier (2)\keygen.exe"
19/04/2005 07:39 |Size 56320 |Crc32 509aae1a |Md5 15d92b54938f7c07b0c002c7ebf066bb

"E:\doc_papa\disque 1\Nouveau dossier (2)\[Nero.Burning.Rom.7.?????].Nero7_keygenF.exe"
12/03/2007 18:28 |Size 117760 |Crc32 DENIED |Md5 DENIED


################## | ! Fin du rapport # FindyKill V5.022 ! |
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 17:23

OK tu as vu d'où viens ton soucis.

################## | Cracks / Keygens / Serials |

"E:\All of the game\Nouveau dossier\keygen.exe"
23/04/2007 11:22 |Size 58368 |Crc32 fd93701a |Md5 9efc5eb08a759741ca88a4c5127f9de2

"E:\doc_papa\disque 1\Nouveau dossier (2)\keygen.exe"
19/04/2005 07:39 |Size 56320 |Crc32 509aae1a |Md5 15d92b54938f7c07b0c002c7ebf066bb

"E:\doc_papa\disque 1\Nouveau dossier (2)\[Nero.Burning.Rom.7.?????].Nero7_keygenF.exe"
12/03/2007 18:28 |Size 117760 |Crc32 DENIED |Md5 DENIED



Télécharge ComboFix <<ICI>>
Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".

Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.
Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 17:48

voici le rapport



ComboFix 09-12-29.06 - TakeOver! 30/12/2009 17:41:57.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1584 [GMT 1:00]
Lancé depuis: c:\documents and settings\TakeOver!\Mes documents\Téléchargements\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 091230-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Data
c:\windows\system32\dumphive.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\unins000.dat
c:\windows\unins000.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-30 ))))))))))))))))))))))))))))))))))))
.

2009-12-30 15:47 . 2009-12-30 15:48 -------- d-----w- C:\rsit
2009-12-30 15:21 . 2009-12-30 16:08 -------- d-----w- C:\FindyKill
2009-12-30 15:20 . 2009-12-30 15:21 -------- d-----w- C:\Rooter$
2009-12-30 02:35 . 2009-12-30 02:35 -------- d-----w- c:\program files\Trend Micro
2009-12-19 00:46 . 2009-12-19 00:46 -------- d-----w- c:\documents and settings\TakeOver!\Application Data\AirDownloaderMain.447DBE4B8352E60C6628BA362FFE0160304ED2DC.1
2009-12-19 00:46 . 2009-12-19 00:45 38784 ----a-w- c:\documents and settings\TakeOver!\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-19 00:46 . 2009-12-19 00:45 38784 ----a-w- c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-19 00:46 . 2009-12-19 00:46 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2009-12-19 00:46 . 2009-12-19 00:46 -------- d-----w- c:\program files\musicMe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 04:40 . 2007-12-12 14:03 -------- d-----w- c:\program files\mIRC
2009-12-30 02:28 . 2007-12-12 14:40 -------- d-----w- c:\program files\Steam
2009-12-30 02:18 . 2007-12-11 19:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-29 23:00 . 2009-05-31 18:53 -------- d-----w- c:\documents and settings\TakeOver!\Application Data\Mumble
2009-12-28 19:53 . 2007-12-15 18:37 -------- d-----w- c:\documents and settings\TakeOver!\Application Data\teamspeak2
2009-12-28 01:35 . 2008-12-27 00:00 -------- d-----w- c:\program files\WinamaxPoker
2009-12-23 23:48 . 2009-11-10 19:51 -------- d-----w- c:\program files\Mumble
2009-12-20 19:57 . 2007-12-15 13:18 -------- d-----w- c:\program files\a-squared Free
2009-12-17 18:46 . 2009-06-01 18:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-17 18:46 . 2009-07-10 17:45 4844296 -c--a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-03 15:14 . 2009-06-01 18:26 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-06-01 18:26 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-24 23:54 . 2007-12-11 19:30 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2007-12-11 19:31 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:49 . 2007-12-11 19:31 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2007-12-11 19:31 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2007-12-11 19:31 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2007-12-11 19:31 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-21 20:16 . 2009-11-21 20:16 0 ----a-w- c:\windows\nsreg.dat
2009-11-15 19:18 . 2009-11-07 01:49 227656 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-11-15 19:17 . 2007-12-11 19:16 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-15 19:16 . 2008-01-09 19:29 -------- d-----w- c:\documents and settings\TakeOver!\Application Data\FileZilla
2009-11-06 21:37 . 2009-11-06 21:37 -------- d-----w- c:\program files\compLexity Demo Player
2009-11-06 18:53 . 2007-12-23 14:13 -------- d-----w- c:\program files\Java
2009-11-06 18:52 . 2006-03-02 12:00 92880 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-06 18:52 . 2006-03-02 12:00 528120 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-06 18:52 . 2009-11-06 18:52 152576 -c--a-w- c:\documents and settings\TakeOver!\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:42 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2006-03-02 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2006-03-02 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2006-03-02 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-16 21:43 . 2009-10-16 21:42 23217117 ----a-w- C:\octobre_2009_up.zip
2009-10-16 20:53 . 2009-10-16 20:53 1160700 ----a-w- C:\update_mars_2009.zip
2009-10-13 10:33 . 2006-03-02 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2006-03-02 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2006-03-02 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2008-11-27 18:39 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-10 19:30 . 2007-12-24 20:00 137656 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-10-10 19:30 . 2007-12-24 19:59 111928 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-10-03 23:24 . 2009-10-03 23:24 0 -c--a-r- c:\documents and settings\TakeOver!\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
2009-07-26 20:42 . 2009-07-26 20:42 23 --sha-w- c:\windows\system32\dfdfbaf5_g.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windows\system32\JMRaidSetup.exe" [2006-11-16 1953792]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"P17Helper"="P17.dll" [2005-05-03 64512]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 55824]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 55824]
"Tarantula"="c:\program files\Razer\Tarantula\razerhid.exe" [2007-05-07 159744]
"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-11 41984]
"DeathAdder"="c:\program files\Razer\DeathAdder\razerhid.exe" [2008-09-05 159744]
"WinSys2"="c:\windows\system32\winsys2.exe" [2009-05-18 208896]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"DelReg"="c:\program files\MSI\DualCoreCenter\DelReg.exe" [2008-05-13 196608]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DualCoreCenter.lnk - c:\program files\MSI\DualCoreCenter\StartUpDualCoreCenter.exe [2009-8-17 192512]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\a-squared

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
2008-02-15 22:02 487424 ----a-w- c:\program files\Eraser\eraser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07 2260480 -csha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2009-10-25 18:08 1217808 ----a-w- c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-25 00:11 132496 -c--a-w- c:\program files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"CTRegRun"=c:\windows\CTRegRun.EXE
"CTSysVol"=c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\Steam\\SteamApps\\pupuce@hotmail.com\\counter-strike\\hl.exe"=
"c:\\Program Files\\Steam\\SteamApps\\pupuce@hotmail.com\\team fortress 2\\hl2.exe"=
"c:\\Program Files\\Steam\\SteamApps\\pupuce@hotmail.com\\day of defeat\\hl.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\game.dat"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Steam\\SteamApps\\pupuce@hotmail.com\\dedicated server\\hltv.exe"=
"c:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\patchget.dat"=
"c:\\Program Files\\Microsoft Games\\Age of Mythology\\aom.exe"=
"c:\\Program Files\\Steam\\SteamApps\\pupuce@hotmail.com\\half-life\\hl.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\VentriloMix\\data\\Programs\\Mumble\\murmur.exe"=
"c:\\Program Files\\Sierra\\FEARCombat\\FEARMP.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\left 4 dead 2\\left4dead2.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4sp.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4mp.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\empire total war\\Empire.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"28960:TCP"= 28960:TCP:28960

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/03/2008 17:26 114768]
R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [15/12/2007 14:18 1858144]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/03/2008 17:26 20560]
R3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [04/02/2009 19:39 22784]
R3 DualCoreCenter;DualCoreCenter;c:\program files\MSI\DualCoreCenter\NTGLM7X.sys [17/08/2009 11:06 28160]
R3 TarFltr;Razer Tarantula USB Keyboard;c:\windows\system32\drivers\UsbFltr.sys [09/07/2008 17:59 45440]
S1 SysTool;SysTool Overclocking Utility;c:\windows\system32\drivers\SysTool.sys [10/11/2006 14:08 24064]
S3 DCamUSBIntel;USB Video Camera;c:\windows\system32\Drivers\TP6800.sys --> c:\windows\system32\Drivers\TP6800.sys [?]
S3 LachesisFltr;Lachesis Mouse Driver;c:\windows\system32\drivers\Lachesis.sys [24/12/2007 20:23 12032]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - EAPHOST
*NewlyCreated* - IP6FW
.
.
------- Examen supplémentaire -------
.
IE: Download ALL with IDA
IE: Download with IDA
DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.virginmega.fr/DownloadManag ... ownMan.cab
FF - ProfilePath - c:\documents and settings\TakeOver!\Application Data\Mozilla\Firefox\Profiles\w0a12q2a.default\
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt ... =MIMWA5&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-AtiExtEvent - (no file)
MSConfigStartUp-AtiTrayTools - c:\program files\Ray Adams\ATI Tray Tools\atitray.exe
AddRemove-Spybot - Search & Destroy_is1 - c:\windows\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-30 17:45
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\docume~1\TAKEOV~1\LOCALS~1\Temp\catchme.dll 53248 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1993962763-2000478354-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4FD6E7E7-5B74-B69C-41A5-AAD7063123CC}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"faenoaogiknb"=hex:66,61,6a,66,70,70,67,6b,66,62,66,69,00,00
.
Heure de fin: 2009-12-30 17:46:48
ComboFix-quarantined-files.txt 2009-12-30 16:46

Avant-CF: 85 679 353 856 octets libres
Après-CF: 85 641 093 120 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - A86D13B15F7EB0273527AED25B0778FD





pendant l'installation mon pc a émis 4 bips 2 par 2 est-ce normal ?
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 18:39

Bonsoir,pour eviter un double emploi des logiciels,que tu effectue sur un autre forum,et eviter un risque de plantage du PC,tu pourrait en informer Bernard53.
A+ :wink:
Avatar de l'utilisateur
Jypalou
Expert(e)
Expert(e)
 
Messages: 1582
Inscription: 06 Oct 2009 20:56
Localisation: Narbonne
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 18:42

je ne savais pas que cela était dangereux :oops: je suis désolé :/ quels risques ai-je encourus ?
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 18:49

Merci Jypalou pour cette info.

evilop cela ne me dérange pas que tu ailles sur un autre forum mais cela risque de te faire une manip qui puisse planter ton pc. Que se soit par moi ou par la personne qui d'aide sur l'autre forum.

Pour moi fait comme tu veux.

Sinon fait ceci.

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer. Image

Copie la liste qui se trouve en citation ci-dessous:
:Files
c:\windows\system32\dfdfbaf5_g.dll
:Commands
[purity]
[emptytemp]
[Reboot]


et colle-la dans le cadre de gauche de OTM sous ceci:

Image

Clique sur Image pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.


puis ceci.

Installe Malewarebytes' Antimalware,
Téléchargement et tuto

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.
Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) → cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.



ensuite je regarde tes rapports sur l'autre forum.

Bien sur si tu préfères continuer sur l'autre forum tu me préviens. Par contre en sens inverse fait de même de pour la personne qui d'aide.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 19:07

voici le rapport :
All processes killed
========== FILES ==========
LoadLibrary failed for c:\windows\system32\dfdfbaf5_g.dll
c:\windows\system32\dfdfbaf5_g.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes
->FireFox cache emptied: 7532871 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: TakeOver!
->Temp folder emptied: 382578 bytes
->Temporary Internet Files folder emptied: 3669264 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 100308905 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 22566912 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 128,00 mb


OTM by OldTimer - Version 3.1.4.0 log created on 12302009_190240

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_598.dat not found!

Registry entries deleted on Reboot...


je vais faire un scan malware bytes , je l'enverrai aussi sur l'autre forum en avertissant le forumeur , je suis gêner j'ai poster pour plus de rapidité et c'est une idée stupide qui peut mettre en danger mon pc
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 19:33

Très bien mets le rapport sur l'autre forum :wink:
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 20:01

voici le rapport malwarebytes :


Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3456
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/12/2009 20:00:31
mbam-log-2009-12-30 (20-00-31).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 234141
Temps écoulé: 51 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\PTECH (Adware.21Nova) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{3DAB8239-AAD2-476C-8D0D-38EA0E6B26ED}\RP189\A0078401.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 20:02

OK comment va ton pc maintenant!
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 20:06

a vrai dire je ne vois qu'une légère rapidité , est-ce que je peux me reconnecter a mon compte de jeux ( steam ) , msn .. sans être inquiéter d'un éventuel vol de mot de passe ??


edit : les bips au lancement de combofix sont il normaux ? , j'ai effectué beaucoup de scan aujourd'hui il n'y a pas de danger ?
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 20:13

As tu encore eu les bips après un nouveau redémarrage!
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Trojan win32.Banker.fgv

Message le 30 Déc 2009 20:15

bah a part le bip de départ non , donc mon pc est désinfecté ?
evilop
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 09 Juin 2007 15:29
 

Suivante


Sujets similaires

Message [Réglé] recherche antivirus et anti trojan pour tel android
Salut tout le mondeje possede un Samsung GALAXY S23 ULTRA, système Android version 14 et version One Ui 6.0 je ne sais pas trop à quoi cela correspond exactement, c'est juste pour information il y a bien dessus maintenance de l'application un onglet protection des applications, mais comme je fais ...
Réponses: 5

Message [Résolu] comment utiliser opera
Bonjour J'ai installé opera, je n'arrive pas à le mettre en français ? Il y a aussi la page d'accueil qui me gêne, pleine de petites fenêtres qui ne m'intéressèrent pas. Merci
Réponses: 13

Message [Résolu] Impossible lancer Windows défender hors ligne WIN10
Salut à vous j'ai voulu lancer Windows Defender hors ligne et malgré plusieurs tentatives et démarrages, il ne se passe rien je suis allé sur mon disque dur C où est installé Windows Defender et puis sur offline j'ai cliqué sur en administrateur : OfflineScannerShellet voici le message Je précis ...
Réponses: 64

Message mot de pass [Résolu]
bonjour quand j'allume le pc il demande un mot de passe et option de connexion ..comment je peu supprimé ça pour que l'ordi s'allume sans cet option ...si y a moyen ça sera bien ps: installation Windows car j'ai remplacé mon DD par un SSD ce week-endmerci
Réponses: 23

Message [Résolu]Paramètrage de mon profil
Bonjour, Lorsque je veux ajouter une signature dans mon profil ==> Modifier la signature, la visualisation de celle-ci se fait bien mais lorsque je valide, rien apparait sous mes messages. Il y a t-il un temps de délai pour voir apparaitre ma signature en bas de mes messages (normalement cela do ...
Réponses: 4

Message [Résolu] Le fameux soucis du "voile blanc" sur un écran.
Bonjour/Bonsoir, je viens à vous aujourd'hui car j'ai acheter un écran LG 24M47VQ-P ( Je crois qu'il s'âgit la de la réph mais je ne suis pas sur ) et lorsque je le branche il fonctionne parfaitement cependant il y a une chose qui me dérange fortement c'est un voile blanc qui viens se mettre sur l'é ...
Réponses: 15


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 12 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.