Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spyware

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spyware

Messagepar thierry25 » 26 Aoû 2010 19:06

Bonjour,

Je rencontre de gros problème de lenteur sur mon PC en wiindows XP.
En faisant une analyse avec Spyware Doctor, j'ai trouvé 9 infections. Aucune avec Mba ou Ad-Aware
J'ai installé l'antivirus Antivir comme préconisé dans votre tuto et fait un premier rapport HijackThis.
Si vous avez un peu de temps à me consacrer, ca serait bien sympa.

Merci d'avance


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:07, on 26/08/2010
Platform: Windows XP SP3, v.5657 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

--
End of file - 5794 bytes
thierry25
 
Messages: 5
Inscription: 26 Aoû 2010 18:41

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar Falkra » 26 Aoû 2010 20:55

Bonsoir, bienvenue. :-D

Ce rapport ne montre rien d'anormal (même s'il ne montre jamais tout).
En faisant une analyse avec Spyware Doctor, j'ai trouvé 9 infections.
Peux-tu me dire lesquelles, le nom des infections ?

Si c'est le seul symptôme actuellement, fais un tour ici : http://www.libellules.ch/tuto_pc_rame.php
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar thierry25 » 27 Aoû 2010 12:17

Bonjour,

j'ai fait une extraction du rapport de Spyware; je comprend pas tout alors j'espére que pour vous c'est un petit peu plus clair.
Merci en attendant.

<tr <b>Nom de la menace</b> - Spyware.Known_Bad_Sites<br><b>Type</b> - Cookie<br><b>Degré de risque</b> - Haut<br><b>Infection</b> - em.pc-on-internet.com/ em.pc-on-internet.com<br></td> </tr>
<tr <b>Nom de la menace</b> - Spyware.Known_Bad_Sites<br><b>Type</b> - Fichier Internet temporaire<br><b>Degré de risque</b> - Haut<br><b>Infection</b> - - http://em.pc-on-internet.com/EAS_tag.1.0.js<br></td> </tr>
<tr <b>Nom de la menace</b> - Spyware.Known_Bad_Sites<br><b>Type</b> - Fichier Internet temporaire<br><b>Degré de risque</b> - Haut<br><b>Infection</b> - - http://em.pc-on-internet.com/media/24/614/17279/FR200811J_468x60_opt01.swf?clickTAG=http://em.pc-on-internet.com/eas?camp=17279::cu=2229::no=99965::ty=ct<br></td> </tr>
<tr <b>Nom de la menace</b> - Adware.XP_Entertainments<br><b>Type</b> - Fichier<br><b>Degré de risque</b> - Moyen<br><b>Infection</b> - C:\WINDOWS\SYSTEM32\head.exe<br></td> </tr>
<tr <b>Nom de la menace</b> - Trojan-Downloader.Agent.LMF<br><b>Type</b> - Fichier<br><b>Degré de risque</b> - Haut<br><b>Infection</b> - C:\WINDOWS\SYSTEM32\patch.exe<br></td> </tr>
<tr <b>Nom de la menace</b> - Trojan.Drsnsrch<br><b>Type</b> - Fichier<br><b>Degré de risque</b> - Haut<br><b>Infection</b> - C:\WINDOWS\SYSTEM32\psicon.dll<br></td> </tr>
<tr <b>Nom de la menace</b>- Spyware.Possible_Website_Hijack<br><b>Type</b> - Entrées malveillantes dans le fichier Hosts<br><b>Degré de risque</b> - Haut<br><b>Infection</b> - 127.0.0.1, mpa.one.microsoft.com<br></td> </tr>
<tr <b>Nom de la menace</b> - Application.Windows_File_Protection_Disabled<br><b>Type</b> - Valeur de registre modifiée<br><b>Degré de risque</b> - Info<br><b>Infection</b> - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, SFCDisable<br></td> </tr>
thierry25
 
Messages: 5
Inscription: 26 Aoû 2010 18:41

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar Falkra » 27 Aoû 2010 19:07

Ok, un site pourri, de toute évidence.

Là, tu n'as plus de messages d'erreur ni de découvertes de ce type ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar thierry25 » 27 Aoû 2010 22:01

A chaque fois que je lance Spyware. Il me retrouve la meme chose.

Est ce que je dois faire quelque chose pour supprimer ces infections ?

Merci
thierry25
 
Messages: 5
Inscription: 26 Aoû 2010 18:41

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar Falkra » 27 Aoû 2010 22:23

Redémarre, mets à jour MBAM et poste un rapport de scan (recherche rapide, suppression des éléments trouvés).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar thierry25 » 28 Aoû 2010 11:07

Aprés maj et exécution, voici le rapport :

ww.malwarebytes.org

Version de la base de données: 4493

Windows 5.1.2600 Service Pack 3, v.5657
Internet Explorer 7.0.5730.13

28/08/2010 12:02:26
mbam-log-2010-08-28 (12-02-26).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 133725
Temps écoulé: 3 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\notepad.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\NOTEPAD.EXE (Trojan.Dropper) -> No action taken.
thierry25
 
Messages: 5
Inscription: 26 Aoû 2010 18:41

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar Falkra » 28 Aoû 2010 13:04

Notepad infecté ? Dans un cas comme dans l'autre, tu n'as pas mis le fichier en quarantaine. ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection Trojan-Downloader.Agent.LMF+Trojan.Drsnr + spy

Messagepar thierry25 » 28 Aoû 2010 13:22

Salut,

j'ai tout supprimé ce qui était en quarantaine.
Maintenant le rapport mbam est vierge.

Au niveau des logs de Spyware, je retrouve toujours les memes logs que précédemment.

Est ce que fais quelque chose ou est ce que je considére que c'est bon ?

merci encore de ton aide
thierry25
 
Messages: 5
Inscription: 26 Aoû 2010 18:41


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités