trojan TR/HACKTOOL.TCPZ.A

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

niglo45

trojan TR/HACKTOOL.TCPZ.A

par niglo45 »

Bonjour,
je suis infecté par TR/HACKTOOL.TCPZ.A d'après antivir qui n'arrive pas à le supprimer. En lisant ce forum j'ai vu qu'il fallait faire tourner combofix ce que j'ai fait mais je ne sais pas lire le rapport ci dessous ci quelqu'un peut dire la marche à suivre en suite merci d'avance.


Rapport combofix

ComboFix 09-07-11.01 - Propriétaire 12/07/2009 9:29.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.99 [GMT 2:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\sysdrv32.sys
c:\windows\system32\i
c:\windows\system32\msvcrt2.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32
-------\Service_sysdrv32


((((((((((((((((((((((((((((( Fichiers créés du 2009-06-12 au 2009-07-12 ))))))))))))))))))))))))))))))))))))
.

2009-06-30 13:34 . 2009-06-30 13:34 71680 --sh--r- c:\windows\system\dllcache.exe
2009-06-29 08:50 . 2009-06-29 14:36 -------- d-----w- c:\windows\SxsCaPendDel
2009-06-29 08:48 . 2009-06-29 08:51 119515 ----a-w- c:\windows\hpqins00.dat
2009-06-29 08:44 . 2009-06-29 08:44 -------- d-----r- c:\documents and settings\LocalService\Favoris
2009-06-23 06:27 . 2009-06-23 06:27 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-06-21 19:02 . 2009-06-21 19:02 -------- d-----w- c:\program files\MSXML 4.0
2009-06-21 07:46 . 2009-06-21 07:49 -------- d-----w- c:\windows\ShellNew
2009-06-21 07:32 . 2009-07-12 07:37 196 ----a-w- c:\windows\system32\drivers\ALCICH.DAT
2009-06-21 07:29 . 2009-06-21 07:29 -------- d-----w- c:\program files\Avance Sound Manager
2009-06-21 07:29 . 2009-06-21 07:29 -------- d-----w- c:\program files\AvRack
2009-06-21 07:29 . 2001-10-12 15:47 288860 ----a-w- c:\windows\system32\drivers\ALCXWDM.SYS
2009-06-21 07:29 . 2001-05-29 17:02 124416 ------w- c:\windows\soundman.exe
2009-06-21 07:29 . 2001-06-28 09:21 217088 ------w- c:\windows\alcupd.exe
2009-06-21 07:26 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-06-21 07:26 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-06-21 06:51 . 2009-06-21 06:51 -------- d-----w- c:\windows\system32\Color
2009-06-21 06:51 . 2008-04-14 02:33 54784 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2009-06-21 06:51 . 2008-04-14 02:33 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2009-06-21 06:37 . 2009-06-21 06:37 -------- d-----w- c:\windows\Options
2009-06-21 06:31 . 2009-06-21 06:31 -------- d-----w- c:\program files\InterVideo
2009-06-21 06:29 . 2002-05-28 14:39 716800 ------w- c:\windows\NuNInst.exe
2009-06-21 06:29 . 2002-06-28 02:12 434176 ------w- c:\windows\system32\drivers\bsudf.sys
2009-06-21 06:29 . 2002-06-05 16:07 9344 ------w- c:\windows\system32\drivers\bsstor.sys
2009-06-21 06:28 . 2002-03-13 13:13 610304 ------w- c:\windows\UNNMP.exe
2009-06-21 06:27 . 2009-06-21 06:29 -------- d-----w- c:\program files\ahead
2009-06-21 06:25 . 2009-06-21 06:25 -------- d-----w- c:\windows\Profiles
2009-06-21 06:25 . 2009-06-21 06:25 -------- d-----w- c:\windows\system32\Adobe
2009-06-21 06:25 . 2009-06-21 06:25 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-06-21 06:25 . 1998-11-13 09:16 308224 ----a-w- c:\windows\IsUn040c.exe
2009-06-20 20:45 . 2007-12-13 00:01 932 ------w- c:\windows\hpomdl28.dat
2009-06-20 20:45 . 2009-06-20 20:45 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-06-20 20:45 . 2009-06-20 20:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2009-06-20 20:45 . 2007-11-08 14:56 271704 ----a-r- c:\windows\system32\hpzids01.dll
2009-06-20 20:45 . 2007-10-20 16:25 118272 ----a-w- c:\windows\system32\hpz3l5mu.dll
2009-06-20 20:45 . 2007-10-30 09:25 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2009-06-20 20:44 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2009-06-20 20:44 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-06-20 20:44 . 2009-06-20 20:44 -------- dc----w- c:\windows\system32\DRVSTORE
2009-06-20 20:44 . 2007-10-30 09:25 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2009-06-20 20:44 . 2007-10-30 09:25 309760 ----a-r- c:\windows\system32\difxapi.dll
2009-06-20 20:44 . 2007-10-21 16:45 303104 ----a-r- c:\windows\system32\hpovst15.dll
2009-06-20 20:44 . 2007-10-21 16:45 581632 ----a-r- c:\windows\system32\hpotscl6.dll
2009-06-20 20:44 . 2007-10-21 16:45 729088 ----a-r- c:\windows\system32\hpowiax7.dll
2009-06-20 20:43 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-06-20 20:43 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-06-20 20:33 . 2009-06-21 06:39 -------- d-----w- C:\download
2009-06-20 20:20 . 2009-06-20 20:21 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-06-20 20:18 . 2003-09-19 13:45 21248 ----a-w- c:\windows\system32\drivers\pfc.sys
2009-06-20 20:18 . 2009-06-20 20:18 -------- d-----w- c:\program files\ArcSoft
2009-06-20 20:18 . 1995-08-01 02:44 212480 ----a-w- c:\windows\PCDLIB32.DLL
2009-06-20 20:18 . 2009-06-21 07:28 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-20 20:16 . 2009-06-20 20:21 -------- d-----w- c:\program files\epson
2009-06-20 20:15 . 2005-02-08 00:00 5632 ----a-r- c:\windows\system32\escdev.dll
2009-06-20 20:15 . 2006-05-21 22:00 65793 ----a-w- c:\windows\system32\esfw66.bin
2009-06-20 20:15 . 2006-05-21 22:00 163840 ----a-w- c:\windows\system32\esint66.dll
2009-06-20 20:15 . 2006-03-19 22:00 64512 ----a-w- c:\windows\system32\eswia66.dll
2009-06-20 20:15 . 2006-03-09 22:00 3584 ----a-w- c:\windows\system32\eswiaml.dll
2009-06-20 20:15 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2009-06-20 20:15 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-06-20 19:33 . 2009-06-20 19:33 -------- d-----w- c:\program files\Microsoft
2009-06-20 19:33 . 2009-06-20 19:33 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-06-20 19:32 . 2009-06-20 19:33 -------- d-----w- c:\program files\Windows Live
2009-06-20 19:29 . 2009-06-20 19:29 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-06-20 18:32 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-20 18:32 . 2009-04-30 21:16 1985024 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-06-20 18:32 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-20 18:32 . 2009-04-30 21:16 11064832 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-06-20 18:31 . 2009-06-20 18:31 -------- d-----w- c:\windows\ie8updates
2009-06-20 18:31 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-20 18:29 . 2009-06-20 18:31 -------- dc-h--w- c:\windows\ie8
2009-06-20 15:38 . 2009-06-20 18:35 -------- d-----w- c:\windows\system32\fr-fr
2009-06-20 15:38 . 2009-06-20 15:38 -------- d-----w- c:\windows\l2schemas
2009-06-20 15:38 . 2009-06-20 15:38 -------- d-----w- c:\windows\system32\fr
2009-06-20 15:36 . 2009-07-07 17:24 -------- d-----w- c:\program files\Mozilla Thunderbird
2009-06-20 15:20 . 2009-06-20 15:20 0 ----a-w- c:\windows\nsreg.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-29 08:51 . 2009-06-20 20:47 -------- d-----w- c:\program files\HP
2009-06-20 21:03 . 2009-06-20 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\WEBREG
2009-06-20 21:03 . 2009-06-20 20:45 177942 ----a-w- c:\windows\hpoins28.dat
2009-06-20 20:50 . 2009-06-20 20:49 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2009-06-20 20:49 . 2009-06-20 20:49 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-06-20 20:48 . 2009-06-20 20:48 -------- d-----w- c:\program files\Hewlett-Packard
2009-06-20 20:48 . 2009-06-20 20:48 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2009-06-20 20:48 . 2009-06-20 20:48 -------- d-----w- c:\program files\Fichiers communs\HP
2009-06-20 20:22 . 2009-06-20 20:17 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-06-20 18:39 . 2001-08-28 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-20 18:39 . 2001-08-28 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-20 15:44 . 2009-06-20 13:11 76487 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-06-20 13:25 . 2009-06-20 13:25 -------- d-----w- c:\program files\Avira
2009-06-20 13:25 . 2009-06-20 13:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-20 13:12 . 2009-06-20 13:12 -------- d-----w- c:\program files\microsoft frontpage
2009-06-20 13:11 . 2009-06-20 13:08 -------- d-----w- c:\program files\Services en ligne
2009-06-20 13:09 . 2009-06-20 13:09 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-13 05:04 . 2001-08-28 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:34 . 2009-04-29 04:34 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:53 . 2001-08-28 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-06-03 05:12 . 2009-06-20 14:26 134648 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"netmon"="c:\windows\system\dllcache.exe" [2009-06-30 71680]
"InCD"="c:\program files\ahead\InCD\InCD.exe" [2002-06-28 1048576]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"EEventManager"="c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400]
"SoundMan"="soundman.exe" - c:\windows\soundman.exe [2001-05-29 124416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\WINDOWS\\system\\dllcache.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [20/06/2009 15:25 22360]
R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\drivers\bsstor.sys [21/06/2009 08:29 9344]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [20/06/2009 15:25 45416]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [20/06/2009 15:25 108289]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\bsudf.sys [21/06/2009 08:29 434176]
R3 DCamUSBNW800;CIF USB Camera (2110);c:\windows\system32\drivers\pcam800.sys [03/01/2003 09:11 210792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Microsoft(R) System Manager - c:\windows\system32\sysmgr.exe
HKLM-Run-ServiceProxy - c:\windows\System32\msvcprx.exe
SafeBoot-dllcache


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\4c3s3c8n.default\
.
.
------- Associations de fichier -------
.
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-12 09:39
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

c:\windows\system\dllcache.exe [1024] 0x819B5DA0

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3780)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Heure de fin: 2009-07-12 9:43 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-12 07:43

Avant-CF: 40 532 041 728 octets libres
Après-CF: 40 505 233 408 octets libres

210 --- E O F --- 2009-06-24 08:50


niglo
Avatar de l’utilisateur
angelique
Messages : 31334
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: trojan TR/HACKTOOL.TCPZ.A

par angelique »

• telecharge ce correctif et installe le :

http://www.microsoft.com/downloads/deta ... laylang=fr

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Code : Tout sélectionner

File::
c:\windows\system\dllcache.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"netmon"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system\\dllcache.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


Image



* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
niglo45

Re: trojan TR/HACKTOOL.TCPZ.A

par niglo45 »

Merci de ta réponse et désolé de ne te répondre que maintenant

J'ai fait e que tu m'a indiqué voici le rapport.
Ce qui m'étonne c'est qu'il indique "THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! car le correctif microsoft servait bien à cela (non ?) et a bien été installé

niglo45







ComboFix 09-07-13.01 - Propriétaire 13/07/2009 20:52.2.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.83 [GMT 2:00]
Running from: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
Command switches used :: c:\documents and settings\Propriétaire\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\windows\system\dllcache.exe"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\dllcache.exe
c:\windows\system32\drivers\sysdrv32.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32
-------\Service_sysdrv32


((((((((((((((((((((((((( Files Created from 2009-06-13 to 2009-07-13 )))))))))))))))))))))))))))))))
.

2009-07-13 18:32 . 2009-07-13 18:47 71937 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\avgio.dll
2009-07-13 18:32 . 2009-07-13 18:47 470273 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\avcenter.exe
2009-07-13 18:31 . 2009-07-13 18:47 2438913 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\classic-nt\rcimage.dll
2009-07-13 18:30 . 2009-07-13 18:47 404225 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\update.exe
2009-07-13 18:30 . 2009-07-13 18:47 345345 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\update.dll
2009-06-29 08:50 . 2009-06-29 14:36 -------- d-----w- c:\windows\SxsCaPendDel
2009-06-29 08:48 . 2009-06-29 08:51 119515 ----a-w- c:\windows\hpqins00.dat
2009-06-29 08:44 . 2009-06-29 08:44 -------- d-----r- c:\documents and settings\LocalService\Favoris
2009-06-23 06:27 . 2009-06-23 06:27 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-06-21 19:02 . 2009-06-21 19:02 -------- d-----w- c:\program files\MSXML 4.0
2009-06-21 07:46 . 2009-06-21 07:49 -------- d-----w- c:\windows\ShellNew
2009-06-21 07:32 . 2009-07-13 19:02 196 ----a-w- c:\windows\system32\drivers\ALCICH.DAT
2009-06-21 07:29 . 2009-06-21 07:29 -------- d-----w- c:\program files\Avance Sound Manager
2009-06-21 07:29 . 2009-06-21 07:29 -------- d-----w- c:\program files\AvRack
2009-06-21 07:29 . 2001-10-12 15:47 288860 ----a-w- c:\windows\system32\drivers\ALCXWDM.SYS
2009-06-21 07:29 . 2001-05-29 17:02 124416 ------w- c:\windows\soundman.exe
2009-06-21 07:29 . 2001-06-28 09:21 217088 ------w- c:\windows\alcupd.exe
2009-06-21 07:26 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-06-21 07:26 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-06-21 06:51 . 2009-06-21 06:51 -------- d-----w- c:\windows\system32\Color
2009-06-21 06:51 . 2008-04-14 02:33 54784 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2009-06-21 06:51 . 2008-04-14 02:33 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2009-06-21 06:37 . 2009-06-21 06:37 -------- d-----w- c:\windows\Options
2009-06-21 06:31 . 2009-06-21 06:31 -------- d-----w- c:\program files\InterVideo
2009-06-21 06:29 . 2002-05-28 14:39 716800 ------w- c:\windows\NuNInst.exe
2009-06-21 06:29 . 2002-06-28 02:12 434176 ------w- c:\windows\system32\drivers\bsudf.sys
2009-06-21 06:29 . 2002-06-05 16:07 9344 ------w- c:\windows\system32\drivers\bsstor.sys
2009-06-21 06:28 . 2002-03-13 13:13 610304 ------w- c:\windows\UNNMP.exe
2009-06-21 06:27 . 2009-06-21 06:29 -------- d-----w- c:\program files\ahead
2009-06-21 06:25 . 2009-06-21 06:25 -------- d-----w- c:\windows\Profiles
2009-06-21 06:25 . 2009-06-21 06:25 -------- d-----w- c:\windows\system32\Adobe
2009-06-21 06:25 . 2009-06-21 06:25 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-06-21 06:25 . 1998-11-13 09:16 308224 ----a-w- c:\windows\IsUn040c.exe
2009-06-20 20:45 . 2007-12-13 00:01 932 ------w- c:\windows\hpomdl28.dat
2009-06-20 20:45 . 2009-06-20 20:45 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-06-20 20:45 . 2009-06-20 20:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2009-06-20 20:45 . 2007-11-08 14:56 271704 ----a-r- c:\windows\system32\hpzids01.dll
2009-06-20 20:45 . 2007-10-20 16:25 118272 ----a-w- c:\windows\system32\hpz3l5mu.dll
2009-06-20 20:45 . 2007-10-30 09:25 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2009-06-20 20:44 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2009-06-20 20:44 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-06-20 20:44 . 2009-06-20 20:44 -------- dc----w- c:\windows\system32\DRVSTORE
2009-06-20 20:44 . 2007-10-30 09:25 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2009-06-20 20:44 . 2007-10-30 09:25 309760 ----a-r- c:\windows\system32\difxapi.dll
2009-06-20 20:44 . 2007-10-21 16:45 303104 ----a-r- c:\windows\system32\hpovst15.dll
2009-06-20 20:44 . 2007-10-21 16:45 581632 ----a-r- c:\windows\system32\hpotscl6.dll
2009-06-20 20:44 . 2007-10-21 16:45 729088 ----a-r- c:\windows\system32\hpowiax7.dll
2009-06-20 20:43 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-06-20 20:43 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-06-20 20:33 . 2009-06-21 06:39 -------- d-----w- C:\download
2009-06-20 20:20 . 2009-06-20 20:21 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-06-20 20:18 . 2003-09-19 13:45 21248 ----a-w- c:\windows\system32\drivers\pfc.sys
2009-06-20 20:18 . 2009-06-20 20:18 -------- d-----w- c:\program files\ArcSoft
2009-06-20 20:18 . 1995-08-01 02:44 212480 ----a-w- c:\windows\PCDLIB32.DLL
2009-06-20 20:18 . 2009-06-21 07:28 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-20 20:16 . 2009-06-20 20:21 -------- d-----w- c:\program files\epson
2009-06-20 20:15 . 2005-02-08 00:00 5632 ----a-r- c:\windows\system32\escdev.dll
2009-06-20 20:15 . 2006-05-21 22:00 65793 ----a-w- c:\windows\system32\esfw66.bin
2009-06-20 20:15 . 2006-05-21 22:00 163840 ----a-w- c:\windows\system32\esint66.dll
2009-06-20 20:15 . 2006-03-19 22:00 64512 ----a-w- c:\windows\system32\eswia66.dll
2009-06-20 20:15 . 2006-03-09 22:00 3584 ----a-w- c:\windows\system32\eswiaml.dll
2009-06-20 20:15 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2009-06-20 20:15 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-06-20 19:33 . 2009-06-20 19:33 -------- d-----w- c:\program files\Microsoft
2009-06-20 19:33 . 2009-06-20 19:33 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-06-20 19:32 . 2009-06-20 19:33 -------- d-----w- c:\program files\Windows Live
2009-06-20 19:29 . 2009-06-20 19:29 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-06-20 18:32 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-20 18:32 . 2009-04-30 21:16 1985024 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-06-20 18:32 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-20 18:32 . 2009-04-30 21:16 11064832 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-06-20 18:31 . 2009-06-20 18:31 -------- d-----w- c:\windows\ie8updates
2009-06-20 18:31 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-20 18:29 . 2009-06-20 18:31 -------- dc-h--w- c:\windows\ie8
2009-06-20 15:38 . 2009-06-20 18:35 -------- d-----w- c:\windows\system32\fr-fr
2009-06-20 15:38 . 2009-06-20 15:38 -------- d-----w- c:\windows\l2schemas
2009-06-20 15:38 . 2009-06-20 15:38 -------- d-----w- c:\windows\system32\fr
2009-06-20 15:36 . 2009-07-07 17:24 -------- d-----w- c:\program files\Mozilla Thunderbird
2009-06-20 15:20 . 2009-06-20 15:20 0 ----a-w- c:\windows\nsreg.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-13 18:47 . 2009-07-13 18:33 28520 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\ssmdrv.sys
2009-07-13 18:47 . 2009-07-13 18:33 286977 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\shlext.dll
2009-07-13 18:47 . 2009-07-13 18:33 681217 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\setup.exe
2009-07-13 18:47 . 2009-07-13 18:33 72194 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\setup.dll
2009-07-13 18:47 . 2009-07-13 18:33 108289 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\sched.exe
2009-07-13 18:47 . 2009-07-13 18:33 387841 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\ccprofil.dll
2009-07-13 18:47 . 2009-07-13 18:33 185089 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\wks_avira\win32\fr\basic-nt\avguard.exe
2009-07-13 18:47 . 2009-07-13 18:33 2438913 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\rcimage.dll
2009-07-13 18:47 . 2009-07-13 18:33 404225 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe
2009-07-13 18:47 . 2009-07-13 18:33 345345 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.dll
2009-06-29 08:51 . 2009-06-20 20:47 -------- d-----w- c:\program files\HP
2009-06-20 21:03 . 2009-06-20 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\WEBREG
2009-06-20 21:03 . 2009-06-20 20:45 177942 ----a-w- c:\windows\hpoins28.dat
2009-06-20 20:50 . 2009-06-20 20:49 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2009-06-20 20:49 . 2009-06-20 20:49 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-06-20 20:48 . 2009-06-20 20:48 -------- d-----w- c:\program files\Hewlett-Packard
2009-06-20 20:48 . 2009-06-20 20:48 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2009-06-20 20:48 . 2009-06-20 20:48 -------- d-----w- c:\program files\Fichiers communs\HP
2009-06-20 20:22 . 2009-06-20 20:17 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-06-20 18:39 . 2001-08-28 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-20 18:39 . 2001-08-28 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-20 15:44 . 2009-06-20 13:11 76487 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-06-20 13:25 . 2009-06-20 13:25 -------- d-----w- c:\program files\Avira
2009-06-20 13:25 . 2009-06-20 13:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-20 13:12 . 2009-06-20 13:12 -------- d-----w- c:\program files\microsoft frontpage
2009-06-20 13:11 . 2009-06-20 13:08 -------- d-----w- c:\program files\Services en ligne
2009-06-20 13:09 . 2009-06-20 13:09 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-13 05:04 . 2001-08-28 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:34 . 2009-04-29 04:34 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-17 15:07 . 2009-07-13 18:33 87297 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updaterc.dll
2009-04-15 14:53 . 2001-08-28 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-15 09:07 . 2009-07-13 18:33 88321 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\rctext.dll
2009-06-03 05:12 . 2009-06-20 14:26 134648 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\program files\ahead\InCD\InCD.exe" [2002-06-28 1048576]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"EEventManager"="c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2006-03-17 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [20/06/2009 15:25 22360]
R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\drivers\bsstor.sys [21/06/2009 08:29 9344]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [20/06/2009 15:25 45416]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [20/06/2009 15:25 108289]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\bsudf.sys [21/06/2009 08:29 434176]
R3 DCamUSBNW800;CIF USB Camera (2110);c:\windows\system32\drivers\pcam800.sys [03/01/2003 09:11 210792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\4c3s3c8n.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-13 21:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(3568)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Completion time: 2009-07-13 21:08 - machine was rebooted
ComboFix-quarantined-files.txt 2009-07-13 19:08
ComboFix2.txt 2009-07-12 07:43

Pre-Run: 40 479 883 264 octets libres
Post-Run: 40 458 846 208 octets libres

218 --- E O F --- 2009-06-24 08:50
Avatar de l’utilisateur
angelique
Messages : 31334
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: trojan TR/HACKTOOL.TCPZ.A

par angelique »

le correctif , c'etait pour combler une faille : http://www.avertlabs.com/research/blog/ ... r-botnets/

la console de recuperation aurait du s'installer si tu etait connecté au lancement de ComboFix , et si tu as accepté.


Configure antivir, les cases cochées comme sur cette video: https://www.malekal.com/fichiers/antivi ... ivirV9.avi
Met le à jour , fait un scan de ton systeme, IGNORE la détection sur ComboFix /!\, et poste le rapport
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Invité

Re: trojan TR/HACKTOOL.TCPZ.A

par Invité »

Je ne comprends pas pourquoi la console ne c'est pas installé car j'étais connecté ?????
Voici le résultats du scan d'antivir après que je l'ai paramétré comme tu me l'as indiqué.

Merci encore de ton aide

Niglo45


Avira AntiVir Personal
Date de création du fichier de rapport : mardi 14 juillet 2009 14:50

La recherche porte sur 1521864 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : CLAUDE

Informations de version :
BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 06:31:06
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12/07/2009 12:28:37
ANTIVIR3.VDF : 7.1.4.232 83968 Bytes 14/07/2009 12:28:38
Version du moteur : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 20/06/2009 14:17:56
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 02/07/2009 15:24:08
AESCN.DLL : 8.1.2.3 127347 Bytes 20/06/2009 14:17:55
AERDL.DLL : 8.1.2.2 438642 Bytes 02/07/2009 15:24:07
AEPACK.DLL : 8.1.3.18 401783 Bytes 20/06/2009 14:17:55
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 20/06/2009 14:17:54
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 28/06/2009 06:36:14
AEHELP.DLL : 8.1.3.6 205174 Bytes 20/06/2009 14:17:51
AEGEN.DLL : 8.1.1.48 348532 Bytes 02/07/2009 15:24:07
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 20/06/2009 14:17:50
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 12:28:37
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mardi 14 juillet 2009 14:50

La recherche d'objets cachés commence.
'25140' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqgpc01.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqbam08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EEventManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'InCD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'32' processus ont été contrôlés avec '32' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0

i
Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'

i
Aucun virus trouvé !
Secteur d'amorçage 'D:\'

i
Aucun virus trouvé !
Secteur d'amorçage 'E:\'

i
Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Propriétaire\12463788801744.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12464557651688.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12465241571752.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12465480881760.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a908736.qua' !
C:\Documents and Settings\Propriétaire\12465541361816.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12466054281744.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12466298881700.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12466924811772.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12469138251684.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[AVERTISSEMENT] Fichier ignoré.
C:\Qoobox\Quarantine\C\WINDOWS\system\dllcache.exe.vir
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac8893a.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\sysdrv32.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Hacktool.Tcpz.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4acf894d.qua' !
C:\System Volume Information\_restore{84D61877-EE3B-4568-A0DB-CC8D0C4AD579}\RP40\A0013427.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{84D61877-EE3B-4568-A0DB-CC8D0C4AD579}\RP41\A0013507.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{84D61877-EE3B-4568-A0DB-CC8D0C4AD579}\RP41\A0013548.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{84D61877-EE3B-4568-A0DB-CC8D0C4AD579}\RP41\A0013594.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{84D61877-EE3B-4568-A0DB-CC8D0C4AD579}\RP41\A0013595.sys
[RESULTAT] Contient le cheval de Troie TR/Hacktool.Tcpz.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8c93ac.qua' !
C:\System Volume Information\_restore{84D61877-EE3B-4568-A0DB-CC8D0C4AD579}\RP41\A0013686.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{84D61877-EE3B-4568-A0DB-CC8D0C4AD579}\RP41\A0013763.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
Recherche débutant dans 'D:\' <BACKUP>
Recherche débutant dans 'E:\' <RECOVER>


Fin de la recherche : mardi 14 juillet 2009 16:50
Temps nécessaire: 1:59:47 Heure(s)

La recherche a été effectuée intégralement

3070 Les répertoires ont été contrôlés
233054 Des fichiers ont été contrôlés
19 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
4 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
233034 Fichiers non infectés
1780 Les archives ont été contrôlées
16 Avertissements
5 Consignes
25140 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Avatar de l’utilisateur
angelique
Messages : 31334
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: trojan TR/HACKTOOL.TCPZ.A

par angelique »

»
C:\Documents and Settings\Propriétaire\12463788801744.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12464557651688.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12465241571752.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12465480881760.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a908736.qua' !
C:\Documents and Settings\Propriétaire\12465541361816.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12466054281744.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12466298881700.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12466924811772.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Propriétaire\12469138251684.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Injector.71680B
[AVERTISSEMENT] Fichier ignoré.
fallait pas ignorer ceux là lol , supprime les

» .*´¨ )
,.•´¸.•*¨) ¸.•*¨)
(¸.•´ : (¸.•´ : (´¸.•*´¯`*•
Finir le nettoyage :
- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

telecharge sur ton bureau:

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

ATF Cleaner
Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
Patiente le temp du nettoyage
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

• naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA ... index.html

les captures ont été réalisées sous FireFox 3.0.11 , c'est quelque peu different depuis la 3.5 mais le principe reste le meme.

Image
http://imagesup.org/images/1237009714-jsff.jpg

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

Image
http://imagesup.org/images/1237009855-clrff.jpg

• Lire sécuriser FireFox:: https://www.malekal.com/securiser_Firefox.php

- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP: https://www.malekal.com/restauration_systeme.php

• desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

Code : Tout sélectionner

ComboFix /u
supprime son dossier restant apres disparition de l'icone de combofix de ton bureau ---> c:\combofix


Sauvegarde de la ruche systeme

Pratique en cas de ce type d'erreur au demarrage (https://www.malekal.com/tutorial_ERUNT.php ) et rapide à restaurer en console de recuperation: https://www.malekal.com/console_recuper ... ocId862261
https://www.malekal.com/tutorial_ERUNT. ... ocId955164

• telecharge ERUNT (ERDNT):
http://www.derfisch.de/lars/erunt.zip
http://www.aumha.org/downloads/erunt.zip
http://dundats.mvps.org/Files/erunt.zip

et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier crée par ComboFix vide(avec juste un dossier Subs vide) apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture:

Image
http://imagesup.org/images/1240900435-erdnt1.jpg

* clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok.

Image
http://imagesup.org/images/1240900561-erdnt2.jpg

*la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT

Image
http://imagesup.org/images/1240900791-erdnt3.jpg

*ferme une fois terminé la fenêtre.

* si par avenir un probleme pc arrive , tu signales juste au helper que %windir%\ERDNT est present en date du xx_xx_2009 sur ton pc lol
.*´¨ )
,.•´¸.•*¨) ¸.•*¨)
(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

et c'est ok
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
niglo45

Re: trojan TR/HACKTOOL.TCPZ.A

par niglo45 »

merci encore pour ton aide et le temps que tu m'as consacré. je vais suivre tout tes conseils de paramétrage.
bonne soirée
niglo45
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »