Trojan-Downloader.Win32.CWS

RAFIK BOUHACHEM -  
 psy4trous -
Bonjour,

Je n'arrive pas à m'en sortir.
J'ai mon antivirus qui a détecté plusieurs Trojan et qui ne peut me les éliminer. Je ne m'y connais pas bcp en info.
Il détecte psieurs noms : Trojan-Downloader.Win32.CWS.gen - Trojan-Clicker.Win32.Small.bm - Trojan.Win32.Small.ai - TrojanClicker.Win32.Small.bmb
De plus j'ai une berre de recherche qui s'installe automatiquement mais cette fois ci elle est directement intégrée à ma page web.
Qui peut m'aider ?

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des Trojan détectés par l’antivirus, dont Trojan-Downloader.Win32.CWS.gen et Trojan-Clicker.Win32.Small.bm, accompagnent l’apparition d’une barre de recherche intégrée et d’autres éléments indésirables sur le navigateur. Plusieurs conseils recommandent d’employer HijackThis pour analyser le système et générer un log, puis de repasser en revue les entrées suspectes comme O4 et R1/R0 et d’effectuer les corrections indiquées. En pratique, les éléments adware détectés peuvent être laissés en quarantaine ou supprimés après validation, et il faut suivre scrupuleusement la procédure HijackThis, notamment en cochant les cases et en relançant un nouveau log. D’autres éléments pratiques évoquent également la surveillance des processus actifs et des programmes au démarrage, comme des entrées Run et des outils de nettoyage additionnels.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    utilise ces log pour commencer
    utilise cet anti trojan A2
    http://www.emsisoft.net/fr/
    penser a le metre a jour avant de scanner le pc
    -------
    spybot

    adaware
    (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. RAFIK BOUHACHEM
       
      Merci,

      j'essaye tout de suite .
      Et la barre de recherche tu sais ce que c'est
      0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pour la barre on s en occupera apres

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  3. RAFIK BOUHACHEM
     
    Re

    Il me demande un login et un code ?

    Comment dois je faire

    merci
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu doit l avoir recu par email

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. RAFIK BOUHACHEM
     
    Merci je le lance et je te dis
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    fait les deux autres aussi

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  8. RAFIK BOUHACHEM
     
    spybot je l'ai et je l'ai fais aujourd'hui.

    tu m'en as donné 2 en tout ?
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    il y a aussi adaware sur la meme page que spybot que je t ai donner

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  10. RAFIK
     
    Je vais sur ta page perso et qd je clique sur le lien il m'affiche une page vide
    0
  11. RAFIK BOUHACHEM
     
    Désolé de t'ennuyer encore mais là c'est de pire en pire.
    j'accède à internet mais ça rame énormément. Ma page par défaut s'affiche maintenant sur : http://www.onlygoodsearch.com/10040/
    Et mon antivirus détecte des trojan dans les fichiers WINLOGON et le fichiers : c:\windows\intem.
    Puis dans services.exe. Si je les supprime qu'est ce ça peut fait ?
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    bonne nuit dolly
    tu as du te tromper cela marche chez moi
    recommence
    (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

    et la tu click sur le mot adaware

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. RAFIK BOUHACHEM
       
      Salut Balltrap,

      Les fichiers trouvés par adware je les laisse en quarantaine ou je les supprime

      Merci pour ton aide
      0
      1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > RAFIK BOUHACHEM
         
        tu peut les laisser en quarantaine quelque temp
        mais je n ai jamais eu de probleme en les suppriment

        la chasse et le balltrap ma vrai passion
        voir site perso dans profil
        0
      2. RAFIK BOUHACHEM > balltrap34 Messages postés 16241 Statut Contributeur sécurité
         
        Et toi tu le vois le hijack. Qu'est ce t'en penses
        J'ai l'impression que dolly danger est partit
        0
  13. Utilisateur anonyme
     
    ;-) encore là, ta page est ok balltrap j'ai testé

    s'il faut, rafik ton accès internet est complétement perturbé par des hijackers
    il vaudrait mieux faire un log hijack pendant que tu peux encore naviguer

    bon courage @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. RAFIK BOUHACHEM
       
      slt dolly dagger t'es encore là ?
      0
  14. RAFIK BOUHACHEM
     
    Salut,

    Désolé de vous ennuyer tous les 2 aussi tard mais c'est quoi un log hi jack
    0
  15. Utilisateur anonyme
     
    re :-)

    http://www.zebulon.fr/articles/HijackThis.php

    - Le télécharger
    - Le mettre dans 1 dossier ex: C:\HijackThis
    - Le lancer -> Scan -> Save log
    - Récupérer ce log/texte avec le bloc- notes.
    - Le copier/coller ici

    (screenshot) <-- à quoi ça ressemble
    http://www.ordi-netfr.org/tutorialhijackthis.html

    @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. RAFIK BOUHACHEM
       
      Slt

      voilà

      Logfile of HijackThis v1.98.2
      Scan saved at 00:23:10, on 21/11/2004
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AntiVirusKit\AVKService.exe
      C:\Program Files\AntiVirusKit\AVKWCtl.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\System32\wdfmgr.exe
      C:\WINDOWS\inetm\winlogon.exe
      C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
      C:\PROGRA~1\MESSAG~1\StartMessager.exe
      C:\WINDOWS\System32\igfxtray.exe
      C:\WINDOWS\System32\hkcmd.exe
      C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
      C:\Program Files\AntiVirusKit\AVKPOP.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\Program Files\a2\a2guard.exe
      C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
      C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
      C:\WINDOWS\explorer.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
      D:\rafik\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlygoodsearch.com/10040/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - Default URLSearchHook is missing
      F3 - REG:win.ini: run=C:\WINDOWS\inetm\winlogon.exe
      O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inetm\1.02.04.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: File Meta Bleh - {A144D046-298E-23DD-60F2-0F2DA43A36F6} - C:\PROGRA~1\LOUDSE~1\DOWNLOAD LOAD.dll (file missing)
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: DashInside - {C05986CA-D019-0014-44CF-D5BF3F794C40} - C:\PROGRA~1\LOUDSE~1\DOWNLOAD LOAD.dll (file missing)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
      O4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe"
      O4 - HKLM\..\Run: [PGStub.exe] C:\DOCUME~1\azerty\LOCALS~1\TEMP\g181511.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
      O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
      O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
      O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
      O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"
      O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Prein] C:\DOCUME~1\azerty\LOCALS~1\Temp\app4.tmp
      O4 - HKLM\..\Run: [Ante okay] C:\PROGRA~1\Creative Joy\PollDraw.exe
      O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
      O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe
      O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe
      O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe
      O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab
      O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.04.03&http://www.tagheuer.com/watches/3d.lbl
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15f38e780df071174f01/netzip/RdxIE601_fr.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
      O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
      O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
      O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132
      O17 - HKLM\System\CS1\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132
      0
  16. Utilisateur anonyme
     
    ok - houlààà!

    C:\WINDOWS\inetm/winlogon.exe c'pas net ce truc inetm ???

    tu fixes (coches)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlygoodsearch.com/10040/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    R3 - Default URLSearchHook is missing <--ne l'oublie pas c'est la redirection automatique sur ta page vérolée

    O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inetm\1.02.04.dll

    les lignes 04 : suis bien cette procédure
    1) ctrl+alt+supp (arrête ces processus dans le gestionnaire des tâches)
    2) tu repasses sur l'hijack et tu fixes les cases

    O4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe" <--spyware
    http://www.liutilities.com/products/wintaskspro/processlibrary/bpc/
    O4 - HKLM\..\Run: [PGStub.exe] C:\DOCUME~1\azerty\LOCALS~1\TEMP\g181511.exe <--adware
    http://startup.iamnotageek.com/srch-PGStub.exe.html
    O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe <--spyware
    http://www.winpatrol.com/db/freesample/wupdater.html
    O4 - HKLM\..\Run: [Prein] C:\DOCUME~1\azerty\LOCALS~1\Temp\app4.tmp <--je vois pas ce que c'est dans tes docs ça? si tu connais c'est ok sinon fixe
    O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe<--trojan
    http://www.spynet.com/spyware/spyware-Krepper.aspx
    O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe<--trojan
    O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe<--trojan bis

    016 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=
    O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
    O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/f

    --------------------------------------------------------------------
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe <-- vérifie que ce soit bien un composant de ta carte graphique, ce processus peut indiquer la présence d'un trojan
    http://www.commentcamarche.net/processus/igfxtray-exe.php3
    --------------------------------------------------------------------
    procédure :
    *fixe les lignes trouvées dans l'hijack
    *ferme l'hijack
    *reboot ton ordi
    *nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
    *effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

    si tu as des dysfonctionnments logiciels, dans le log hijack tu as un fichier Backup (sauvegarde) tu reverses les lignes éventuellement

    @+ quel boulot

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  17. RAFIK BOUHACHEM
     
    Le hou la la ça veut dire que je suis dans la merde, non ?

    mais une dernière : être hijacker ça veut dire quoi exactemet

    Merci beaucoup à tous ls deux.
    ça a l'air chaud pour moi.
    Je fais ça demain à tête reposé

    A+ les gars
    0
  18. Utilisateur anonyme
     
    hijacker c'est :
    hijack - hijacker - hijacking : modification non sollicitée du comportement et/ou des réglages du navigateur de l'internaute

    amen! ^_^ loll

    fait les fix, n'oublie pas le backup si t'as des problèmes (vu l'heure tardive, on sait jamais........)
    ensuite repasse a²+spybot 1.3 à jour + ad-aware SE à télécharger
    + spywareBlaster (anti activX)
    http://www.ordi-netfr.org/tutorialspywareblaster.html
    http://www.javacoolsoftware.com/spywareblaster.html
    s'apparente à la fonction de "Vaccination" de Spybot, mais en plus puissant.

    @ demain, tu repostes un nouveau log quand tu as finis les fix

    ZzzzzzzzzzzzzZZZzzzzzzzz <------- good night :-))

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. RAFIK BOUHACHEM
       
      Encor le même man,

      Et la back up je le fais comment ?
      0
  19. Utilisateur anonyme
     
    + haut dans le lien "screenshot" on t'explique où et comment on reverse une ligne avec le Backup
    le post 17 je crois

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. RAFIK BOUHACHEM
       
      Merci man et bonne nuit
      0
  20. Utilisateur anonyme
     
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens <-- ne fixe pas, je l'ai copié/collé par erreur (bien que ce ne soit pas important comme ligne)

    j'ai refait une vérif
    C:\WINDOWS\inetm/(winlogon.exe)
    faudrait virer inetm dans C:\WINDOWS

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  • 1
  • 2
  • 3