Download.trojan

Aonghas -  
 Aonghas -
des pubs pour du viagra ou autre ne cessent de s'ouvrir dés que je me connecte à internet et norton détecte seul la présence d'un trojan (download.trojan) mais ne peut rien faire. En faisant une analyse antivirus norton retrouve les fichiers infectés et les met en quarantaine mais ça ne change rien. Ad-aware détecte et supprime lui aussi mais des fichiers mais qui finissent par ré-apparaitre.

Dans le gestionnaire des tâches plusieurs programmes semblent ou apparaissent clairement comme suspects :
winratchet.exe
winadtools.exe
shopathomeselect cash back
zvghqrsrbehrhi.exe

En faisant un scan hijackthis j'ai découvert un processus explorer.EXE au lieu d'explorer.exe.

Que me conseillez-vous ? Désirez-vous un copié/collé du scan hijackthis ?

Merci de m'aider, Aonghas
Configuration: XP PRO SP2

norton antivirus

3 réponses

  1. bernie61
     
    salut
    installes un anti trojan avec mise à jour puis scan
    antitrojan a2free là
    http://www.emsisoft.com/en/
    ou celui-là
    http://www.ewido.net/en/?section=features (payant après 30j)
    ou scanTrojan en ligne : http://www.windowsecurity.com/trojanscan/
    ou TDS-3 là http://tds.diamondcs.com.au/ (payant )
    ou TrojanHunter 4.1
    http://www.misec.net/trojanhunter/ (payant après 30j)
    ou The Cleaner (payant après 30j)
    http://www.moosoft.com/products/cleaner/download/
    a+
    0
  2. Aonghas
     
    j'ai essayé le premier programme. Tout ce qu'il a réussi à faire c'est bloquer mon pc à chaque démarrage (il trouvait tout supect)

    voici mon log d'hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:40:28, on 09/03/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\SndMon16.exe
    C:\WINDOWS\htpatch.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\svapache.exe
    C:\WINDOWS\System32\zvghqrsrbehrhi.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    C:\WINDOWS\system32\gotem\sound32.exe
    C:\WINDOWS\ezwd.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\RECYCLER\NPROTECT\00103322.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Aonghas\Bureau\HijackThis.exe
    C:\WINDOWS\System32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
    O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
    O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
    O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\Program Files\Wanadoo\backup\CnxMon.exe
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [Windows Sound Manager] SndMon16.exe
    O4 - HKLM\..\Run: [Microsoft Explorer] svapache.exe
    O4 - HKLM\..\Run: [MS Windows Update] zvghqrsrbehrhi.exe
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitezhf32.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [Sound32] C:\WINDOWS\system32\gotem\sound32.exe
    O4 - HKLM\..\Run: [Bhznahjn] C:\Program Files\Lqmaurc\Xtiuamh.exe
    O4 - HKLM\..\Run: [2dUqPAbcf] C:\WINDOWS\rilqhck.exe
    O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nerocheck.exe /i
    O4 - HKLM\..\Run: [TkBellExee] C:\WINDOWS\realschd.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [ezwd] C:\WINDOWS\ezwd.exe
    O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
    O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
    O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon16.exe
    O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe
    O4 - HKLM\..\RunServices: [MS Windows Update] zvghqrsrbehrhi.exe
    O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon16.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Windows Sound Manager] SndMon16.exe
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
    O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon16.exe
    O4 - Startup: UltimateZip Quick Start.lnk = C:\RECYCLER\NPROTECT\00103322.exe
    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)

    Que dois-je supprimer ?
    0
  3. bernie61
     
    re salut
    en effet tu es bien infecté
    tu dois désinstaller ISTbar ainsi que Web_Rebates ainsi que Windows AdTools
    ensuite
    redémarres mode sans échec et fais le scan a2 et antivirus
    puis refais un HijackThis qu'on termine car y a encore tu boulot
    a+
    0
    1. Aonghas
       
      Merci Bernie, j'ai tout désinstallé (c'était déjà fait pour winadtools) sauf web_rebates que je ne trouve pas. En mode sans échec a2 et norton n'ont rien trouvé. Dés que je démarre normalement a2 trouve des fichiers mais finit par bloquer le pc. N'est-il pas possible de faire un scan en ligne, plus fiable ?

      En attendant :

      Logfile of HijackThis v1.99.1
      Scan saved at 00:04:24, on 10/03/2005
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\SndMon16.exe
      C:\WINDOWS\htpatch.exe
      C:\WINDOWS\System32\RunDll32.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\System32\svapache.exe
      C:\WINDOWS\System32\zvghqrsrbehrhi.exe
      C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
      C:\WINDOWS\system32\gotem\sound32.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\RECYCLER\NPROTECT\00103322.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Documents and Settings\Aonghas\Bureau\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
      R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
      O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
      O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
      O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
      O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll
      O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
      O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [WooCnxMon] C:\Program Files\Wanadoo\backup\CnxMon.exe
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
      O4 - HKLM\..\Run: [Windows Sound Manager] SndMon16.exe
      O4 - HKLM\..\Run: [Microsoft Explorer] svapache.exe
      O4 - HKLM\..\Run: [MS Windows Update] zvghqrsrbehrhi.exe
      O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
      O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitezhf32.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
      O4 - HKLM\..\Run: [Sound32] C:\WINDOWS\system32\gotem\sound32.exe
      O4 - HKLM\..\Run: [Bhznahjn] C:\Program Files\Lqmaurc\Xtiuamh.exe
      O4 - HKLM\..\Run: [2dUqPAbcf] C:\WINDOWS\rilqhck.exe
      O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nerocheck.exe /i
      O4 - HKLM\..\Run: [TkBellExee] C:\WINDOWS\realschd.exe
      O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
      O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
      O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
      O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
      O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
      O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
      O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
      O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon16.exe
      O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe
      O4 - HKLM\..\RunServices: [MS Windows Update] zvghqrsrbehrhi.exe
      O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon16.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Windows Sound Manager] SndMon16.exe
      O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon16.exe
      O4 - Startup: UltimateZip Quick Start.lnk = C:\RECYCLER\NPROTECT\00103322.exe
      O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O17 - HKLM\System\CCS\Services\Tcpip\..\{72779C7B-7D73-47DB-AEF1-55F885EF84B5}: NameServer = 80.10.246.130 80.10.246.3
      O17 - HKLM\System\CS1\Services\Tcpip\..\{72779C7B-7D73-47DB-AEF1-55F885EF84B5}: NameServer = 80.10.246.130 80.10.246.3
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)
      0