trojan BackDoor-CMQ - suppression impossible

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 28 Nov 2008 11:39

Bonjour,

Je me trouve - comme de nombreux internautes - confronté au problème suivant:
- Je suis sous Vista avec toutes les mises à jour de sécurité installées (ca a toujours été le cas) ainsi que IE7
- J'utilise Mac Afee Viruscan 8 Entreprise
- Mac Afee me donne ce message de manière répétitive: "Alerte, BackDoor-CMQ trouvé, puis supprimé" dans le rep user/xxx/AppData/Local/Temp/~TMP/HMUNMLCNXX
- Ce répertoire peut varier selon les cas, mais il s'agit toujours de Appdata/temp.

Je précise que j'ai déjà effectué des scans en ligne (Kaspersky), j'ai utilisé Adaware, Spywareterminator, antitroyenA2, CCleaner, tout cela en mode sans echec et après avoir supprimé les fichiers temp.

Je ne sais donc plus trop quoi faire.

J'ai fais un log Hijackthis, et comme conseillé, le voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:10, on 28/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Windows\vVX3000.exe
C:\Windows\System32\atwtusb.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Windows\System32\WTMKM.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PcSync2.exe
C:\Program Files\Microsoft Office\Office12\GROOVE.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\system32\conime.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\Program Files\TechSmith\SnagIt 8\SnagPriv.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Windows\system32\taskmgr.exe
C:\Users\cyril\Documents\PC Informatique\Sécurité Antivirus Spyware Mots de passe\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe
O1 - Hosts: ::1 localhost
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\Windows\vVX3000.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Envoyer à Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D9B85F8-F6F9-46F0-9FA7-8E1B134B64CF}: NameServer = 212.27.40.240,212.27.40.241
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Advanced Monitoring Agent - Remote Monitoring - C:\PROGRA~1\ADVANC~1\winagent.exe
O23 - Service: Advanced Monitoring AutoUpdate - Unknown owner - C:\PROGRA~1\ADVANC~1\updater.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 8575 bytes

Merci encore de votre aide !
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Ogu » 28 Nov 2008 17:05

Salut à toi!


Connais-tu le logiciel (son nom de dossier commence par Advanced quelque chose) qui a installé ces lignes?
Chab a écrit:O23 - Service: Advanced Monitoring Agent - Remote Monitoring - C:\PROGRA~1\ADVANC~1\winagent.exe
O23 - Service: Advanced Monitoring AutoUpdate - Unknown owner - C:\PROGRA~1\ADVANC~1\updater.exe





Image VIRUSTOTAL

Va sur le site VirusTotal
  • Copie cette ligne:

    C:\PROGRA~1\ADVANC~1\winagent.exe


  • Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:

    Image

  • Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:

    Image
  • Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
  • Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
    Image
    et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : Image
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.

    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.



Image MALWAREBYTES ANTI-MALWARE

Télécharge Image Malwarebytes Antimalware en cliquant sur cette image:

Image

  • Installe-le puis lance-le
  • Connecte tes clés USB et ton disque dur externe
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche"
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • Le scan se lance
  • A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  • Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
  • Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1311
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 29 Nov 2008 10:13

Bonjour,

Oui c'est un logiciel de surveillance de serveurs que je vends ! il n'y a donc aucun problème de ce côté là.

J'avais déjà fait tourner Malwarebytes Antimalware il y a 1 semaine, mais cela n'avait pas réglé le problème. Je vais le refaire ce matin et poster le résultat.
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 29 Nov 2008 18:13

Merci de tes conseils,

J'ai repassé malwarebytes et il n'a rien trouvé:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1395
Windows 6.0.6001 Service Pack 1

29/11/2008 17:57:48
mbam-log-2008-11-29 (17-57-48).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 167148
Temps écoulé: 2 hour(s), 22 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

par contre Mac Afee continue à "supprimer" le virus environ toutes les 2 ou 3 heures (analyse à l'accès activée),

Que puis-faire maintenant ?
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 29 Nov 2008 18:33

En complément, et par acquis de conscience, j'ai passé winagent.exe dans virustotal, et rien de significatif:

Fichier winagent.exe reçu le 2008.11.29 18:14:37 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 1/37 (2.71%)

Le seul c'est panda qui dit qu'il suspecte quelque chose.

Voilà...
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Ogu » 30 Nov 2008 02:22

Re!

Tout ça sent le faux-positif à plein nez!


Peux-tu essayer de m'envoyer un rapport McAfee (qui est un piètre antivirus) afin d'isoler l'alerte?
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1311
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 30 Nov 2008 20:24

Bonjour,

Voici la fin du log, s'il en faut plus, dites le moi mais il est long:

29/11/2008 15:14:51 Supprimé PC-fixe-cyril\cyril C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe C:\USERS\CYRIL\APPDATA\LOCAL\TEMP\~TMP\HMUNMLCN22\SVCHOST.EXE BackDoor-CMQ (Cheval de Troie)
29/11/2008 15:14:52 Supprimé PC-fixe-cyril\cyril C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe C:\Users\cyril\AppData\Local\Temp\~tmp\hmunmlcn22\svchost.exe\svchost.exe BackDoor-CMQ (Cheval de Troie)
29/11/2008 15:21:24 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-09-02 074940\Backup files 1.zip
29/11/2008 15:52:39 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-09-02 074940\Backup files 2.zip
29/11/2008 16:12:18 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-09-02 074940\Backup files 4.zip
29/11/2008 16:20:29 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-09-08 020003\Backup files 1.zip
29/11/2008 18:20:10 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-10-13 020004\Backup files 1.zip
29/11/2008 18:55:04 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-10-13 020004\Backup files 2.zip
29/11/2008 19:09:04 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-10-13 020004\Backup files 4.zip
29/11/2008 19:09:39 Non analysé (délai d'analyse écoulé) AUTORITE NT\SYSTEM C:\Windows\System32\svchost.exe E:\PC-FIXE-CYRIL\Backup Set 2008-09-02 074940\Backup Files 2008-10-13 020004\Backup files 5.zip

29/11/2008 20:00:59 Statistiques :
29/11/2008 20:00:59 Fichiers analysés : 89423
29/11/2008 20:00:59 Fichiers détectés : 4
29/11/2008 20:00:59 Fichiers nettoyés : 0
29/11/2008 20:00:59 Fichiers supprimés : 4
29/11/2008 20:05:06 Version du moteur = 5300.2777
29/11/2008 20:05:06 AntiVirus - Version des fichiers DAT = 5448.0000
29/11/2008 20:05:06 Nombre de signatures de détection dans EXTRA.DAT = Aucun
29/11/2008 20:05:06 Nom des signatures de détection dans EXTRA.DAT = Aucun
29/11/2008 23:24:25 Supprimé PC-fixe-cyril\cyril C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe C:\USERS\CYRIL\APPDATA\LOCAL\TEMP\~TMP\YUNML04\SPOOLSV.EXE BackDoor-CMQ (Cheval de Troie)
29/11/2008 23:24:28 Supprimé PC-fixe-cyril\cyril C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe C:\Users\cyril\AppData\Local\Temp\~tmp\yunml04\spoolsv.exe\spoolsv.exe BackDoor-CMQ (Cheval de Troie)

29/11/2008 23:38:02 Statistiques :
29/11/2008 23:38:02 Fichiers analysés : 7076
29/11/2008 23:38:02 Fichiers détectés : 2
29/11/2008 23:38:02 Fichiers nettoyés : 0
29/11/2008 23:38:02 Fichiers supprimés : 2
30/11/2008 08:57:55 Version du moteur = 5300.2777
30/11/2008 08:57:55 AntiVirus - Version des fichiers DAT = 5448.0000
30/11/2008 08:57:55 Nombre de signatures de détection dans EXTRA.DAT = Aucun
30/11/2008 08:57:55 Nom des signatures de détection dans EXTRA.DAT = Aucun

30/11/2008 08:58:07 Statistiques :
30/11/2008 08:58:07 Fichiers analysés : 94
30/11/2008 08:58:07 Fichiers détectés : 0
30/11/2008 08:58:07 Fichiers nettoyés : 0
30/11/2008 08:58:07 Fichiers supprimés : 0
30/11/2008 10:47:52 Version du moteur = 5300.2777
30/11/2008 10:47:52 AntiVirus - Version des fichiers DAT = 5449.0000
30/11/2008 10:47:52 Nombre de signatures de détection dans EXTRA.DAT = Aucun
30/11/2008 10:47:52 Nom des signatures de détection dans EXTRA.DAT = Aucun
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Ogu » 30 Nov 2008 20:45

Ton rapport montre des choses ambiguës...on va tâcher d'y voir plus clair:



Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux.



Image COMBOFIX

  • Télécharge ImageComboFix de sUBs SUR TON BUREAU (il est impératif de le mettre sur le Bureau) en cliquant sur cette image:
    Image

  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

    Image

Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:
  1. Clique sur le bouton Démarrer.
  2. Clique sur l'option de menu Paramètres.
  3. Clique sur l'option Panneau de configuration.
  4. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
  5. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
  6. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.
Image
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1311
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 30 Nov 2008 21:43

Bonjour,

Je ne peux pas télécharger Combofix car j'ai un message de vista qui me dit "Accès au dossier de destination refusé, Vous devez disposer d'une autorisation pour effectuer cette action" et quand je clique sur recommencer c'est la même fenêtre qui revient.

A préciser que je suis administrateur de mon PC.

De plus, Mac Afee s'affole quand je veux le télecharger et m'indique qu'il contient un virus.

Que dois je en penser ?

De plus, je viens de faire une analyse complète avec Kaspersky online, il n'a rien trouvé.
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Ogu » 01 Déc 2008 11:04

Bonjour!


On va laisser ComboFix de côté au vu du rapport Kaspersky qui change un peu la donne. Je réponds quand même à tes interrogations, mais ne lance pas ComboFix dans l'immédiat: on y reviendra plus tard si nécessaire.


Chab a écrit:
Je ne peux pas télécharger Combofix car j'ai un message de vista qui me dit "Accès au dossier de destination refusé, Vous devez disposer d'une autorisation pour effectuer cette action" et quand je clique sur recommencer c'est la même fenêtre qui revient.


Essayais-tu de l'enregistrer sur ton Bureau? On désactivera temporairement l'UAC avant de télécharger le fix:

Image DESACTIVER TEMPORAIREMENT L'UAC

En suivant cette méthode:

http://www.zebulon.fr/astuces/220-desac ... vista.html


Chab a écrit:De plus, Mac Afee s'affole quand je veux le télecharger et m'indique qu'il contient un virus.

Que dois je en penser ?


C'est un phénomène fréquent: on l'appelle "faux positif": en clair, ComboFix étant un outil très puissant, ton antivirus repère qu'il dispose de fonctions potentiellement nuisibles, et le détecte -à tort- comme un virus. Bien sûr il n'en est rien, et quand on sait se servir de cet outil, les risques sont quasi inexistant. Donc tu désactiveras McAfee le temps de la procédure ComboFix.


Chab a écrit:De plus, je viens de faire une analyse complète avec Kaspersky online, il n'a rien trouvé.



Pourtant ton antivirus résident trouve bien des fichiers qui semblent être des worms dans les fichiers temporaires non, si j'en crois le rapport McAfee?

Etrange ton affaire! Avant de poursuivre on va s'assurer que McAfee ne détecte pas là aussi un faux-positif:



Image VIRUSTOTAL

Va sur le site VirusTotal
  • Copie cette ligne:

    C:\Users\cyril\LOCALS~1\APPLIC~1\clipsrv.exe


  • Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:

    Image

  • Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:

    Image
  • Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
  • Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
    Image
    et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : Image
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.

    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.




Puis recommence la même opération MAIS en allant chercher cet exécutable-là:

C:\USERS\CYRIL\APPDATA\LOCAL\TEMP\~TMP\YUNML04\SPOOLSV.EXE:


Pour ce faire, affiche les fichiers cachés de ta machine en suivant cette astuce:
http://www.micro-astuce.com/Forum/topic1607.html

Puis, sur VirusTotal, appuie sur le bouton Parcourir Image et navigue dans tes fichiers TEMP pour trouver spoolsv.exe, et uploade-le sur VirusTotal.


Ce qui est troublant dans ton rapport, c'est que les exécutables détectés, spoolsv.exe et clipsrv, sont normalement légitimes, mais là ils se retrouvent sans raison apparente dans les fichiers TEMP, et sont détectés par McAfee: la probabilité est élevée que cela soient des vers qui reprennent le nom d'un vrai fichier sain (c'est courant): il existe bien un outil qui résoudrait le problème en une passe, mais il est incompatible Vista: il faut donc ruser...
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1311
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 03 Déc 2008 15:12

Bonjour,

Pour Combofix j'ai réussi à le télécharger sur le bureau pour au cas ou. Effectivement Combofix est un faux positif pour Mac Afee.

De plus, j'ai désinstallé Mac Afee et installé Kaspersky.

Par contre Kaspersky a aussi trouvé le même virus que MAc Afee:
c:\users\cyril\local settings\applic~1\clipsrv.exe donc je suppose que ce n'était pas un faux positif au départ.

Voilà le résultat d'une analyse du fichier par Virustotal:

Fichier clipsrv.exe reçu le 2008.12.03 14:57:45 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.2.2 2008.12.03 -
AntiVir 7.9.0.36 2008.12.03 -
Authentium 5.1.0.4 2008.12.03 -
Avast 4.8.1281.0 2008.12.02 -
AVG 8.0.0.199 2008.12.03 -
BitDefender 7.2 2008.12.03 -
CAT-QuickHeal 10.00 2008.12.03 -
ClamAV 0.94.1 2008.12.03 -
DrWeb 4.44.0.09170 2008.12.03 -
eSafe 7.0.17.0 2008.12.02 -
eTrust-Vet 31.6.6241 2008.12.03 -
Ewido 4.0 2008.12.03 -
F-Prot 4.4.4.56 2008.12.03 -
F-Secure 8.0.14332.0 2008.12.03 -
Fortinet 3.117.0.0 2008.12.03 -
GData 19 2008.12.03 -
Ikarus T3.1.1.45.0 2008.12.03 -
K7AntiVirus 7.10.540 2008.12.02 -
Kaspersky 7.0.0.125 2008.12.03 Heur.Trojan.Generic
McAfee 5452 2008.12.02 -
McAfee+Artemis 5452 2008.12.02 -
Microsoft 1.4205 2008.12.03 -
NOD32 3660 2008.12.03 -
Norman 5.80.02 2008.12.02 -
Panda 9.0.0.4 2008.12.03 Suspicious file
PCTools 4.4.2.0 2008.12.03 -
Prevx1 V2 2008.12.03 Cloaked Malware
Rising 21.06.22.00 2008.12.03 -
SecureWeb-Gateway 6.7.6 2008.12.03 -
Sophos 4.36.0 2008.12.03 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.03 -
TheHacker 6.3.1.2.172 2008.12.02 -
TrendMicro 8.700.0.1004 2008.12.03 -
VBA32 3.12.8.10 2008.12.03 -
ViRobot 2008.12.3.1498 2008.12.03 -
VirusBuster 4.5.11.0 2008.12.03 -
Information additionnelle
File size: 81920 bytes
MD5...: e31d88dec0f8891f2b3e4295e7848dd3
SHA1..: 0706afe1be9b291937861fb7854800b0d4a082d3
SHA256: f084982175cb46feca27c5f2b1ced4bcb63be3706d2418620c3b71f7241259ae
SHA512: c6b86f875bc79fd4301d84113355cbd6a457cfc0a12ac438ea505ddbda7057c8<br>878137e40281c18a47e6e234a01d2ee1ce99e65f1a4ab59d9afccaeb6856defa<br>
ssdeep: 1536:Cc8EtCHbB5AMe8VWlaOwIpaIbt0CY6j4RqVGXsTZB7zACjdoet:n2rwXwo0<br>I4UYsLjdoet<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x40af36<br>timedatestamp.....: 0x491854c3 (Mon Nov 10 15:35:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xf7cf 0x10000 6.24 e3160e949e2f6badefc5395a5cd93516<br>.rdata 0x11000 0x1fe2 0x2000 5.45 9a03ab060eed8890c520536602aac1be<br>.data 0x13000 0x3798 0x1000 1.46 10aff0fdc06bf8276c2c6b0d232a1971<br><br>( 6 imports ) <br>&gt; USER32.dll: LoadImageA<br>&gt; ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken<br>&gt; WS2_32.dll: -, -<br>&gt; WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA<br>&gt; NETAPI32.dll: NetUserGetInfo, NetApiBufferFree<br>&gt; KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetFileTime, OpenProcess, GetStartupInfoA, GetSystemDirectoryA, GetProcessPriorityBoost, GetFileType, GetVolumeInformationA, CreateDirectoryA, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc<br><br>( 0 exports ) <br>
Prevx info: &lt;a href='http://info.prevx.com/aboutprogramtext.asp?PX5=AD42760B00517A6440860135AF909400B209BBAF' target='_blank'&gt;http://info.prevx.com/aboutprogramtext.asp?PX5=AD42760B00517A6440860135AF909400B209BBAF&lt;/a&gt;

Antivirus;Version;Dernière mise à jour;Résultat
Kaspersky;7.0.0.125;2008.12.03;Heur.Trojan.Generic
Panda;9.0.0.4;2008.12.03;Suspicious file
Prevx1;V2;2008.12.03;Cloaked Malware

Information additionnelle
File size: 81920 bytes
MD5...: e31d88dec0f8891f2b3e4295e7848dd3
SHA1..: 0706afe1be9b291937861fb7854800b0d4a082d3
SHA256: f084982175cb46feca27c5f2b1ced4bcb63be3706d2418620c3b71f7241259ae
SHA512: c6b86f875bc79fd4301d84113355cbd6a457cfc0a12ac438ea505ddbda7057c8<br>878137e40281c18a47e6e234a01d2ee1ce99e65f1a4ab59d9afccaeb6856defa<br>
ssdeep: 1536:Cc8EtCHbB5AMe8VWlaOwIpaIbt0CY6j4RqVGXsTZB7zACjdoet:n2rwXwo0<br>I4UYsLjdoet<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x40af36<br>timedatestamp.....: 0x491854c3 (Mon Nov 10 15:35:31 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0xf7cf 0x10000 6.24 e3160e949e2f6badefc5395a5cd93516<br>.rdata 0x11000 0x1fe2 0x2000 5.45 9a03ab060eed8890c520536602aac1be<br>.data 0x13000 0x3798 0x1000 1.46 10aff0fdc06bf8276c2c6b0d232a1971<br><br>( 6 imports ) <br>&gt; USER32.dll: LoadImageA<br>&gt; ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegGetKeySecurity, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken<br>&gt; WS2_32.dll: -, -<br>&gt; WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA<br>&gt; NETAPI32.dll: NetUserGetInfo, NetApiBufferFree<br>&gt; KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetFileTime, OpenProcess, GetStartupInfoA, GetSystemDirectoryA, GetProcessPriorityBoost, GetFileType, GetVolumeInformationA, CreateDirectoryA, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc<br><br>( 0 exports ) <br>
Prevx info: &lt;a href='http://info.prevx.com/aboutprogramtext.asp?PX5=AD42760B00517A6440860135AF909400B209BBAF' target='_blank'&gt;http://info.prevx.com/aboutprogramtext.asp?PX5=AD42760B00517A6440860135AF909400B209BBAF&lt;/a&gt;
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Ogu » 06 Déc 2008 14:11

Yo!

J'espère que tu es toujours parmi nous: je poursuis ton sujet dans le week-end, désolé de n'avoir pas pu venir plus tôt!
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1311
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Ogu » 06 Déc 2008 14:45

Après consultation: il semble que le ver détecté est en fait un fichier sain, comme je le pressentais: McAfee (et quelques autres le détectent à tort, visiblement...


Néanmoins, comme il subsiste un doute, on va utiliser ComboFix: il te faudra effacer celui que tu as téléchargé précédemment et le télécharger à nouveau afin d'avoir l'outil le plus à jour.

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux.



Image COMBOFIX

Conseil: lis cette procédure en intégralité avant de te lancer.

  • Désactive McAfee Antivirus et l'UAC comme indiqué précédement.
  • Télécharge ImageComboFix de sUBs SUR TON BUREAU en cliquant sur cette image:Image

** IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

  • Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Fais un double clic sur combofix.exe & suis les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage (ce qui est très rare!).

  • Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t' est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Image



Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu devrais voir le message suivant:


Image


Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il affichera un rapport. Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse:

Image[/list]

Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:
  1. Clique sur le bouton Démarrer.
  2. Clique sur l'option de menu Paramètres.
  3. Clique sur l'option Panneau de configuration.
  4. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
  5. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
  6. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.
Image
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1311
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: trojan BackDoor-CMQ - suppression impossible

Messagepar Chab » 09 Déc 2008 16:48

Yo,

T'inquiètes pas, c'est pas vraiment bloquant, j'arrive quand même à bosser.

Donc j'ai viré Mac Afee, installé Kaspersky, et voici un résumé de ce qui a été détecté et supprimé d'après 1 log:

[General]
TaskType=Antivirus Fichiers(oas)
ThreatType=virus
ThreatName=Trojan-Mailfinder.Win32.Blen.es
ThreatDanger=1
ObjectType=Fichier (PID: 984)
ObjectName=C:\Users\cyril\AppData\Local\Temp\~tmp\hmunmlcn23\svchost.exe
ScanningBasesTime=06/12/2008 01:43:00

il a aussi trouvé cette saloperie: HEUR:Trojan.Win32.Generic mais il semble qu'il l'ai supprimé.
Mais depuis quelques jours, plus d'alerte... je touche du bois...

Par contre j'ai l'impression que Kaspersky en mode protection temps réel ralentit beaucoup le pc (vista business), quelqu'un est aussi de cet avis ? Je suis quasiment obliger de l'arrêter dans la journée et de lancer un scan complet la nuit. Mas Afee c'était pas le cas il tournait en permanence. Mais bon je suppose qu'il faut choisir un compromis entre lourdeur et efficacité.

Bon, je vais quand même suivre ton conseil et tester combofix dès que j'ai un peu de temps,

Merci encore
Chab
 
Messages: 8
Inscription: 28 Nov 2008 10:58


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités
cron