Troj_generic infection

18/09-2007 à 10:57Bonjour à tous,
Trend Micro en ligne a détecté Troj_generic. Voici en dessous le rapport de SDfix.
Pourriez vous voir la gentillesse de me dire si tout est OK maintenant. Mille mercis.




SDFix: Version 1.104

Run by Sylvie on 18/09/2007 at 09:54

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\autorun.ini - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\acer\\Acer eConsole\\MediaSync.exe"="C:\\Program Files\\acer\\Acer eConsole\\MediaSync.exe:LocalSubNet:Enabled:Media Synchoronizer"
"C:\\Program Files\\acer\\Acer eConsole\\eConsole.exe"="C:\\Program Files\\acer\\Acer eConsole\\eConsole.exe:LocalSubNet:Enabled:eConsole"
"C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe"="C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe:LocalSubNet:Enabled:Acer Media Server"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe"="C:\\Program Files\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Disabled:BitTorrent"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Kerio\\Personal Firewall\\PERSFW.exe"="C:\\Program Files\\Kerio\\Personal Firewall\\PERSFW.exe:*:Enabled:Kerio Personal Firewall Engine"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Canon\Canon Setup Utility 2.0\uinstrsc.dll
C:\WINDOWS\system32\NTIBUN4.dll
C:\WINDOWS\system32\NTICDMK7.dll
C:\WINDOWS\system32\NTIFCD3.dll
C:\WINDOWS\system32\NTIMP3.dll
C:\WINDOWS\system32\NTIMPEG2.dll
C:\Program Files\Canon\Canon Setup Utility 2.0\Maint.exe
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL0003.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL0004.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL0005.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL0092.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL0149.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL0395.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL0812.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL1334.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL1701.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL2018.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL2321.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL3314.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL3349.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL3519.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL3847.tmp
C:\Documents and Settings\Sylvie\Mes documents\Les2dernieres\Ecrits+roman\Premier roman\~WRL3856.tmp
C:\Program Files\wunauclt.zip

Finished!

18/09-2007 à 13:41Bonjour, apparemment rien de spécial à signaler, fais attention avec Emule et BitTorrent ( pour les virus ).
Bonne continuation pour ton roman

@+

----------
C'est pas toujours facile !

18/09-2007 à 13:57merci !

18/09-2007 à 15:37apparemment rien de spécial

Apparement ........ Ou surement ?

----------
http://www.flickr.com/photos/dans_les_jardins/

18/09-2007 à 16:41Bjour lulamay

Rien n'empêche de scanner le PC avec AVG Antispywares et A squared free
(gratuits tous les 2) en mode sans échec pour contrôler les résultats.

Mais avant de passer en mode sans échec, supprimer la Restauration system,
utiliser alors AVG Antispy et A squared free,
confirmer les résultats précédents
et enfin, remettre en place la Restau system

@ +


--------------------------------
Merci de votre aide pour maintenir ce forum en un espace convivial.
--------------------------------

Modifie par Modifié par mic69300 le 18/09/

18/09-2007 à 20:22

Apparement ........ Ou surement ?

Toi qui est si malin...tu dois avoir la réponse non?

----------
C'est pas toujours facile !

18/09-2007 à 21:13Bonjour,

Jghm a raison. Apparemment, il reste encore une belle cochonceté en fichier caché (wunauclt.zip, dernière ligne du log).
Je ne peux pas trop t'aider, ne connaissant ni SDFix ni wunauclt, et si quelques recherches Google confirment bien que ce dernier est un troyen, je n'ai pas trouvé de quelle famille (virtumonde, navipromo, smitfraud ?)

Outre les manips que Mic propose, je peux te suggérer de faire un log Hijackthis et de le poster chez l'ami Terdef http://assiste.forum.free.fr/viewforum.php?f=70

Hijackthis http://www.trendsecure.com/portal/fr/threat_analytics/hijackthis.php
Aide Hijackthis http://www.malekal.com/tutorial_HijackThis.html

----------

18/09-2007 à 23:08J'avais vérifié sur Sécuser.com !
wunauclt.zip est inconnu au bataillon des virus
C'est pourquoi j'avais laissé passer.

----------
C'est pas toujours facile !

18/09-2007 à 23:17J_D , il y a trois cas de figure :
1 ) Tu connais la solution,tu la donnes,et en conclusion ,tu affirmes qu'il n'y a plus de problème.
2 ) Tu ne connais pas la solution, et, comme quick ,tu orientes la personne dans le caca vers des gens qualifiés.
3 ) Tu t'ennuies chez toi,tu ne sais pas quoi faire,vas faire un tour dehors,mais n'interviens pas sur le technique,pour ......Avoir l'air de t'occuper.
En ce qui me concerne, j'applique à la lettre cette vieille blague de je ne sais plus qui :
Je préfère passer peut-être pour un con en fermant ma gueule,plutôt que de l'ouvrir et ne laisser aucun doute sur le sujet !
Bonne soirée.

----------
http://www.flickr.com/photos/dans_les_jardins/

24/09-2007 à 11:59merci pour votre aide à tous.
je vais fiare un hijack par sécurité.
Bonne journée