Malware Kavos
Modérateur: Modérateurs
Règles du forum
Merci de consulter Les règles du forum
Rappel: Le langage SMS et les abréviations ne sont pas tolérés sur ce forum. Les demandes d'aide écrites en SMS ou formulées dans un français trop approximatif ne seront pas traitées
Merci de consulter Les règles du forum
Rappel: Le langage SMS et les abréviations ne sont pas tolérés sur ce forum. Les demandes d'aide écrites en SMS ou formulées dans un français trop approximatif ne seront pas traitées
7 messages
• Page 1 sur 1
Malware Kavos
de romarin45 » 19 Aoû 2009, 08:30
Bonjour,
Pour mon micro portable ACER TravelMate 2001LC avec Windows XP édition familiale Version 2002. Service pack 2.
Ce micro bootait en boucle suite à introduction d’une clé USB. J’ai pu le faire redémarrer en mode sans échec. Depuis après redémarrage mode normal il fonctionne.
Mais l’antivirus avast a détecté :
rootkit trouvé type processus caché C:\ q9.cmd malware Wiigfolder.
Nouveau scan avast :
C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL Win32 : Kavos [Trj] Cheval de troie
D:\ q9.cmd Win32 : Kavos [Trj]
C:\ q9.cmd Win32 : Kavos [Trj]
puis Scan Avast au démarrage :
C:\WINDOWS\SYSTEM32\olhrewef.exe
Scan antivirus en ligne secuser :
1. cookies de profil : nettoyage fait.
2. faille sécurité MS07-067. Que faire ?
Nouveau scan Avast au démarrage:
rootkit trouvé type processus caché C:\ q9.cmd malware Wi
Avast me propose le choix supprimer ou ignorer
Mes questions :
1. dois-je sélectionner l’action supprimer ? (XP familiale 2002 service pack 2)
2. Comment supprimer ce virus totalement y compris sous D et compte-tenu des rapports avast que j’ai cités précédemment?
3. Comment lire et nettoyer la clé USB et sauvegarder son contenu sans contaminer un autre ordinateur ?
4. Quelle procédure pour sauvegarder les documents et photos du disque D sans contaminer une clé USB ou un disque externe ?
Sur mon ordinateur fixe avec Windows XP + pack 2 j’ai introduit la clé litigieuse. J’ai eu le message : Modification des paramètres. Windows a trouvé l’installation de nouveaux périphériques …..Vous devez redémarrer votre ordinateur….etc. Je n’ai pas redémarré, puis j’ai lancé Avast.
Avast a détecté sur la clé H:\q9.cmd logiciel malveillant win32 : Kavos [Trj]. Action mise en quarantaine. Depuis je ne peux plus lire les fichiers principalement Word de cette clé. Une fenêtre s’ouvre et me demande : choisissez le programme à utiliser pour ouvrir le fichier adobe etc… Depuis je n’ai pas réutilisé cette clé.
L’ordinateur fixe a été redémarré plusieurs fois, il fonctionne depuis plusieurs jours, avast ne détecte pas de virus. L’ordinateur ne semble pas avoir été contaminé.
A votre disposition pour les renseignements complémentaires. Merci de votre aide.
Pour mon micro portable ACER TravelMate 2001LC avec Windows XP édition familiale Version 2002. Service pack 2.
Ce micro bootait en boucle suite à introduction d’une clé USB. J’ai pu le faire redémarrer en mode sans échec. Depuis après redémarrage mode normal il fonctionne.
Mais l’antivirus avast a détecté :
rootkit trouvé type processus caché C:\ q9.cmd malware Wiigfolder.
Nouveau scan avast :
C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL Win32 : Kavos [Trj] Cheval de troie
D:\ q9.cmd Win32 : Kavos [Trj]
C:\ q9.cmd Win32 : Kavos [Trj]
puis Scan Avast au démarrage :
C:\WINDOWS\SYSTEM32\olhrewef.exe
Scan antivirus en ligne secuser :
1. cookies de profil : nettoyage fait.
2. faille sécurité MS07-067. Que faire ?
Nouveau scan Avast au démarrage:
rootkit trouvé type processus caché C:\ q9.cmd malware Wi
Avast me propose le choix supprimer ou ignorer
Mes questions :
1. dois-je sélectionner l’action supprimer ? (XP familiale 2002 service pack 2)
2. Comment supprimer ce virus totalement y compris sous D et compte-tenu des rapports avast que j’ai cités précédemment?
3. Comment lire et nettoyer la clé USB et sauvegarder son contenu sans contaminer un autre ordinateur ?
4. Quelle procédure pour sauvegarder les documents et photos du disque D sans contaminer une clé USB ou un disque externe ?
Sur mon ordinateur fixe avec Windows XP + pack 2 j’ai introduit la clé litigieuse. J’ai eu le message : Modification des paramètres. Windows a trouvé l’installation de nouveaux périphériques …..Vous devez redémarrer votre ordinateur….etc. Je n’ai pas redémarré, puis j’ai lancé Avast.
Avast a détecté sur la clé H:\q9.cmd logiciel malveillant win32 : Kavos [Trj]. Action mise en quarantaine. Depuis je ne peux plus lire les fichiers principalement Word de cette clé. Une fenêtre s’ouvre et me demande : choisissez le programme à utiliser pour ouvrir le fichier adobe etc… Depuis je n’ai pas réutilisé cette clé.
L’ordinateur fixe a été redémarré plusieurs fois, il fonctionne depuis plusieurs jours, avast ne détecte pas de virus. L’ordinateur ne semble pas avoir été contaminé.
A votre disposition pour les renseignements complémentaires. Merci de votre aide.
- romarin45
- Nouveau
- Messages: 3
- Inscription: 18 Aoû 2009, 16:19
Re: Malware Kavos
de Marie » 19 Aoû 2009, 09:37
Bonjour et bienvenue 
Génère un rapport HijackThis comme indiqué sur cette page et poste le dans ta prochaine réponse.
En fonction de ce qu'il y a dans le rapport je te donnerai une procédure pour désinfecter ton PC et ta (ou tes) clé(s).
Génère un rapport HijackThis comme indiqué sur cette page et poste le dans ta prochaine réponse.En fonction de ce qu'il y a dans le rapport je te donnerai une procédure pour désinfecter ton PC et ta (ou tes) clé(s).
-
Marie - Administratrice
- Messages: 15560
- Inscription: 22 Juin 2007, 14:56
- Localisation: La Valette du Var
Re: Malware Kavos
de romarin45 » 19 Aoû 2009, 14:42
re bonjour,
j'ai téléchargé Hijack selon la procedure que tu m'a indiqué
Au lancement jai le message : "hijack this.exe composant introuvable car MSVBVM60.DLL est introuvable. La réinstallation de cette application peut corriger le problème"
Nouvelle tentative de téléchargement réinstallation au même emplacement. Idem, même réponse.
En fait le fichier non trouvable msvbvm60.dll existe sous C:\WINDOWS\Software Distribution\Download\44b6174a4.....etc
Tentative de désinstallation par démarrer-panneau de configuration-ajout/suppression de programmes: LE PROGRAMME N'EST PAS AFFICHE dans la liste des programmes donc je ne peux le désinstaller.Pourtant il existe avec le chemin:
"C:\Programm Files\Trend Micro\Hijack This\Hijack This.exe"
Puis-je désinstaller les fichiers hijack localisés par rechercher par la fonction supprimer au lieu d'utiliser ajout/suppression? Puis réinstaller après? avec espoir que hijack retrouve le fichier introuvable.
Quand je redémarre l'ordinateur j'ai toujours l'alerte avast de rootkit processus cachés en C:\q9.cmd
Avast recommande de le supprimer avec action "supprimer maintenant". Puis-je supprimer?
Merci.............encore!
j'ai téléchargé Hijack selon la procedure que tu m'a indiqué
Au lancement jai le message : "hijack this.exe composant introuvable car MSVBVM60.DLL est introuvable. La réinstallation de cette application peut corriger le problème"
Nouvelle tentative de téléchargement réinstallation au même emplacement. Idem, même réponse.
En fait le fichier non trouvable msvbvm60.dll existe sous C:\WINDOWS\Software Distribution\Download\44b6174a4.....etc
Tentative de désinstallation par démarrer-panneau de configuration-ajout/suppression de programmes: LE PROGRAMME N'EST PAS AFFICHE dans la liste des programmes donc je ne peux le désinstaller.Pourtant il existe avec le chemin:
"C:\Programm Files\Trend Micro\Hijack This\Hijack This.exe"
Puis-je désinstaller les fichiers hijack localisés par rechercher par la fonction supprimer au lieu d'utiliser ajout/suppression? Puis réinstaller après? avec espoir que hijack retrouve le fichier introuvable.
Quand je redémarre l'ordinateur j'ai toujours l'alerte avast de rootkit processus cachés en C:\q9.cmd
Avast recommande de le supprimer avec action "supprimer maintenant". Puis-je supprimer?
Merci.............encore!
- romarin45
- Nouveau
- Messages: 3
- Inscription: 18 Aoû 2009, 16:19
Re: Malware Kavos
de Marie » 19 Aoû 2009, 15:53
Suis les indications données par Jeanmimigab ICI pour installer la dll manquante dans C:/Windows/System32.
Si tu as besoin de plus d'infos, n'hésite pas à demander.
Poste ensuite le rapport HijackThis.
Si tu as besoin de plus d'infos, n'hésite pas à demander.
Poste ensuite le rapport HijackThis.
-
Marie - Administratrice
- Messages: 15560
- Inscription: 22 Juin 2007, 14:56
- Localisation: La Valette du Var
Re: Malware Kavos
de romarin45 » 19 Aoû 2009, 22:57
Bonjour,
Je n'ai pu télécharger la dll par le lien que tu m'as fourni (page not found)
J'ai téléchargé visual basic6 runtime qui contient plusieurs dll dont msvbvm60.dll
et hop Hijack fonctionne!
Voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:07, on 19/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ChkMail] C:\Program Files\Launch Manager\ChkMail.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/hou ... hcImpl.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59479AA1-8971-42A0-8566-FC285742BD19}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
--
End of file - 7003 bytes
A toi Marie......Merci d'avance
Je n'ai pu télécharger la dll par le lien que tu m'as fourni (page not found)
J'ai téléchargé visual basic6 runtime qui contient plusieurs dll dont msvbvm60.dll
et hop Hijack fonctionne!
Voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:07, on 19/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ChkMail] C:\Program Files\Launch Manager\ChkMail.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/hou ... hcImpl.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59479AA1-8971-42A0-8566-FC285742BD19}: NameServer = 80.10.246.1 81.253.149.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
--
End of file - 7003 bytes
A toi Marie......Merci d'avance
- romarin45
- Nouveau
- Messages: 3
- Inscription: 18 Aoû 2009, 16:19
Re: Malware Kavos
de Apollo » 19 Aoû 2009, 23:38
Bonsoir,
Ca n'a pas marché parce que c'est une page traduite par Google lol.
alors rien que pour info, la DLL zippée est disponible ici: http://www.dll-files.com/dllindex/dll-f ... l?msvbvm60
@++
Ca n'a pas marché parce que c'est une page traduite par Google lol.
alors rien que pour info, la DLL zippée est disponible ici: http://www.dll-files.com/dllindex/dll-f ... l?msvbvm60
@++
Ne pas utiliser ComboFix sauf demande expresse d'un conseiller en sécurité formé à cet outil. Ne postez pas sur plusieurs forums pour traîter le même sujet svp. - Trouver rapport Antivir - Créez votre propre sujet svp
-
Apollo - Membre contributeur
- Messages: 3997
- Inscription: 16 Juil 2008, 23:10
- Localisation: Liège (Province de)
Re: Malware Kavos
de Marie » 20 Aoû 2009, 01:06
Bonjour à vous 2
Je n'avais pas fait attention à la traduction Google. Désolée.
Tu as bien fait. C'est encore mieux, comme ça.
Le PC a été contaminé par un support amovible.
Support amovible=Clés USB, lecteurs MP3, cartes d'appareil photo numérique, Disque Dur externe ... Tout ce qui peut se brancher sur port USB et est capable d'enregistrer des fichiers.
Pour éviter une recontamination du PC après nettoyage, il est capital de désinfecter aussi tous les supports amovibles qui ont été branchés sur ce PC depuis qu'il est contaminé (et éventuellement vérifier la santé des autres PC sur lesquels ces supports amovibles ont été connectés).
Donc, branche sur ton PC tous les supports amovibles que tu as utilisés ces derniers temps, sans en oublier, pour qu'ils soient désinfectés en même temps que le PC. <-- Important
Désactive tous tes logiciels de sécurité (Avast) le temps de télécharger et exécuter ComboFix. Ceci afin qu'ils ne gênent pas l'outil quand il travaille.
Je n'avais pas fait attention à la traduction Google. Désolée.
J'ai téléchargé visual basic6 runtime qui contient plusieurs dll dont msvbvm60.dll
Tu as bien fait. C'est encore mieux, comme ça.
Le PC a été contaminé par un support amovible.Support amovible=Clés USB, lecteurs MP3, cartes d'appareil photo numérique, Disque Dur externe ... Tout ce qui peut se brancher sur port USB et est capable d'enregistrer des fichiers.
Pour éviter une recontamination du PC après nettoyage, il est capital de désinfecter aussi tous les supports amovibles qui ont été branchés sur ce PC depuis qu'il est contaminé (et éventuellement vérifier la santé des autres PC sur lesquels ces supports amovibles ont été connectés).
Donc, branche sur ton PC tous les supports amovibles que tu as utilisés ces derniers temps, sans en oublier, pour qu'ils soient désinfectés en même temps que le PC. <-- Important
ComboFix est un outil puissant qui ne doit pas être employé à la légère. Cette procédure a été créée spécifiquement pour cet utilisateur. Si vous n'êtes pas cet utilisateur, ne la lancez pas au risque d'endommager sérieusement votre installation de Windows !
Désactive tous tes logiciels de sécurité (Avast) le temps de télécharger et exécuter ComboFix. Ceci afin qu'ils ne gênent pas l'outil quand il travaille.- Télécharge ComboFix de sUBs sur ton bureau.
- Consulte ce tuto détaillé sur l'utilisation du logiciel. Il t'explique dans le détail ce que tu dois faire et ne pas faire durant le scan.
- Ferme toutes les fenêtres de tous les programmes en cours d'exécution.
- Double-clique sur ComboFix.exe pour le lancer. Les conditions d'utilisations du programme vont s'afficher. Accepte les en cliquant sur OK.
- Si l'outil te propose d'installer la console de récupération de XP. Accepte. <- Important
- Suite à ça, le scan va commencer. Patiente le temps que l'outil travaille sans l'interrompre et sans rien toucher. (Ne clique pas dans la fenêtre de ComboFix quand il est en train de s'exécuter: Ça pourrait planter Windows)
- A la fin du scan, un rapport va être généré: C:\ComboFix.txt
Poste ce rapport dans ta prochaine réponse.
-
Marie - Administratrice
- Messages: 15560
- Inscription: 22 Juin 2007, 14:56
- Localisation: La Valette du Var
7 messages
• Page 1 sur 1
Retourner vers Aide pour supprimer les virus
-
- Articles en relation
- Réponses
- Vus
- Dernier message
-
- Kavos impossible à effacer
de austin385 » 02 Mar 2009, 23:46 - 2 Réponses
- 266 Vus
- Dernier message de Marie
03 Mar 2009, 10:08
- Kavos impossible à effacer
-
- Galère avec KAVOS
de coincoin » 10 Juin 2009, 14:21 - 1 Réponses
- 123 Vus
- Dernier message de Marie
10 Juin 2009, 16:30
- Galère avec KAVOS
-
- Infecté par le virus Kavos
de wasko86 » 18 Juin 2009, 17:09 - 5 Réponses
- 79 Vus
- Dernier message de Marie
19 Juin 2009, 20:04
- Infecté par le virus Kavos
-
- Win32:Kavos insupprimable
de enzo » 03 Nov 2009, 21:10 - 3 Réponses
- 181 Vus
- Dernier message de Engil Hramn
05 Nov 2009, 21:28
- Win32:Kavos insupprimable
-
- problème avec win32 : kavos sur XP
de kevinos 45 » 12 Mar 2009, 22:43 - 9 Réponses
- 766 Vus
- Dernier message de Marie
25 Mar 2009, 09:59
- problème avec win32 : kavos sur XP
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
News
Plan de site
SitemapIndex
Flux RSS
