Problemes avec des trojans (trojan fakelert)

tètè -  
eZula Messages postés 3509 Statut Contributeur -
Bonjour,
j ai actuellement 3 trojans sur mon pc dont je n arrive pas a me débarrasser : trojan.fakealert, trojan-clicker.vb et trojan-downloader.zlob.znx. Quelqu un peut il m aider please?
Merci d avance.
Configuration: Windows XP
Firefox 3.5.3

19 réponses

  1. eZula Messages postés 3509 Statut Contributeur 392
     
    Bonjour,

    télécharge GenProc http://www.genproc.com/GenProc.exe

    double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
    1
  2. tètè
     
    Rapport GenProc 2.640 [1] - 18/10/2009 à 23:52:14
    @ Windows XP Service Pack 2 - Mode normal
    @ Mozilla Firefox (3.5.3) [Navigateur par défaut]

    Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3 (Team IDN) sur ton Bureau.

    Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** a *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

    # Etape 2/

    Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste, dans la même réponse :

    - Le contenu du rapport TB.txt situé dans C:\ ;
    - Un nouveau rapport HijackThis https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser ;
    - Un nouveau rapport GenProc ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ~~ Arguments de la procédure ~~

    # Détections [1] GenProc 2.640 18/10/2009 à 23:53:04
    Toolbar:le 18/10/2009 à 23:54:50 "C:\WINDOWS\iun6002.exe"

    ----------------------------------------------------------------------
    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ----------------------------------------------------------------------

    ~~ Fin à 23:57:33 ~~
    0
  3. eZula Messages postés 3509 Statut Contributeur 392
     
    suis la procédure en entier pour commencer
    0
  4. tètè
     
    Impossible de redemarrer en mode sans echecs. J ai meme eu du mal a redemarrer normalement. Que faire??
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. eZula Messages postés 3509 Statut Contributeur 392
     
    Fais en mode normal
    0
  7. tètè
     
    Voila les rapports :

    -----------\\ ToolBar S&D 1.2.9 XP/Vista

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 4300 @ 1.80GHz )
    BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
    USER : a ( Administrator )
    BOOT : Normal boot
    Antivirus : avast! antivirus 4.8.1356 [VPS 091018-0] 4.8.1356 (Activated)
    C:\ (Local Disk) - NTFS - Total:232 Go (Free:36 Go)
    D:\ (USB)
    E:\ (USB)
    F:\ (USB)
    G:\ (USB)
    H:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
    Option : [2] ( 19/10/2009| 0:19 )
    C:\WINDOWS\iun6002.exe

    -----------\\ SUPPRESSION

    Supprime! - C:\WINDOWS\iun6002.exe

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (a) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper
    (a) - {dc572301-7619-498c-a57d-39143191b318} => tabmixplus

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Start Page"="http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0"
    "Search Page"="https://www.google.com/?gws_rd=ssl"
    "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
    "SearchMigratedDefaultURL"="https://laptopadviser.com/malware-removal/{searchTerms}"
    "Default_Search_URL"="https://laptopadviser.com/malware-removal/"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Local Page"="C:\\windows\\system32\\blank.htm"
    "Start Page"="https://www.msn.com/fr-fr/"

    --------------------\\ Recherche d'autres infections

    --------------------\\ Cracks & Keygens ..

    C:\DOCUME~1\a\Mes documents\Mes images\Mes images\wall\one piece\onepiece2\OP__Death_Piece_by_YumCha_crack.jpg

    1 - "C:\ToolBar SD\TB_1.txt" - 19/10/2009| 0:24 - Option : [2]

    -----------\\ Fin du rapport a 0:24:09,76

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:25:10, on 19/10/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Spyware Doctor\pctsTray.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\a\Bureau\hijackthis-2.0.2.exe
    C:\DOCUME~1\a\LOCALS~1\Temp\hijackthis-2.0.2.exe
    C:\Program Files\Mozilla Firefox\firefox.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://laptopadviser.com/malware-removal/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://laptopadviser.com/malware-removal/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://laptopadviser.com/malware-removal/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: 675873 Class - {030A0F33-5B99-482E-83F5-2EEB8457878B} - C:\WINDOWS\system32\675873\675873.dll (file missing)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
    O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
    O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
    O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
    O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: CaCCProvSP - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
    O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
    0
  8. eZula Messages postés 3509 Statut Contributeur 392
     
    Scanne ce fichier "C:\WINDOWS\system32\net.net" sur le site virustotal et poste le résultat.
    D'autre part, qui te signale ces trois trojans, et as-tu leur localisation précise ?
    0
  9. tètè
     
    C est spyware doctor qui m a signale les a signale. Voila le rapport virus total :

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.41 2009.10.18 Trojan.Win32.VB!IK
    AhnLab-V3 5.0.0.2 2009.10.17 -
    AntiVir 7.9.1.35 2009.10.18 TR/Crypt.PEPM.Gen
    Antiy-AVL 2.0.3.7 2009.10.16 -
    Authentium 5.1.2.4 2009.10.18 -
    Avast 4.8.1351.0 2009.10.18 Win32:Trojan-gen
    AVG 8.5.0.420 2009.10.18 Clicker.ACLS
    BitDefender 7.2 2009.10.18 MemScan:Trojan.Clicker.MUC
    CAT-QuickHeal 10.00 2009.10.18 (Suspicious) - DNAScan
    ClamAV 0.94.1 2009.10.17 -
    Comodo 2648 2009.10.18 -
    DrWeb 5.0.0.12182 2009.10.18 Trojan.Click.25308
    eSafe 7.0.17.0 2009.10.18 Suspicious File
    eTrust-Vet 35.1.7072 2009.10.16 -
    F-Prot 4.5.1.85 2009.10.18 -
    F-Secure 9.0.15300.0 2009.10.16 MemScan:Trojan.Clicker.MUC
    Fortinet 3.120.0.0 2009.10.16 -
    GData 19 2009.10.19 MemScan:Trojan.Clicker.MUC
    Ikarus T3.1.1.72.0 2009.10.18 Trojan.Win32.VB
    Jiangmin 11.0.800 2009.10.18 -
    K7AntiVirus 7.10.872 2009.10.16 -
    Kaspersky 7.0.0.125 2009.10.18 Packed.Win32.PECompact
    McAfee 5775 2009.10.18 -
    McAfee+Artemis 5775 2009.10.18 -
    McAfee-GW-Edition 6.8.5 2009.10.18 Heuristic.LooksLike.Win32.Suspicious.H
    Microsoft 1.5101 2009.10.19 TrojanDownloader:Win32/Pacoheir.A
    NOD32 4520 2009.10.18 a variant of Win32/TrojanClicker.Punad.AA
    Norman 6.03.02 2009.10.17 W32/Obfuscated.BR!genr
    nProtect 2009.1.8.0 2009.10.18 -
    Panda 10.0.2.2 2009.10.18 -
    PCTools 4.4.2.0 2009.10.18 -
    Prevx 3.0 2009.10.19 -
    Rising 21.51.62.00 2009.10.18 -
    Sophos 4.46.0 2009.10.18 Mal/Behav-317
    Sunbelt 3.2.1858.2 2009.10.18 -
    Symantec 1.4.4.12 2009.10.18 -
    TheHacker 6.5.0.2.045 2009.10.17 -
    TrendMicro 8.950.0.1094 2009.10.18 -
    VBA32 3.12.10.11 2009.10.18 -
    ViRobot 2009.10.17.1990 2009.10.17 -
    VirusBuster 4.6.5.0 2009.10.18 -
    Information additionnelle
    File size: 37096 bytes
    MD5...: c197cc7c083c90b045d7a006b9fd9a5a
    SHA1..: 5af2f24f6fc85ce851a879646659e984b00c3223
    SHA256: 63af6279681c686f22e35ae97ec76366d0584dadea951787723ce3458bba5c2e
    ssdeep: 768:QQg1d6kb7ODwsxTkJME6Gd57rgnvQjX0Arz1DY3:QQp8aD5mCc57rA6X0ArB
    q
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1128
    timedatestamp.....: 0x4a89ce1c (Mon Aug 17 21:39:40 2009)
    machinetype.......: 0x14c (I386)

    ( 2 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x11000 0x3c00 7.91 2921b8a674587d484503104934c9707a
    .rsrc 0x12000 0x6000 0x5200 4.86 ff0e299f174e02420551e91c0c7802ed

    ( 1 imports )
    > kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Win32 EXE PECompact compressed (v2.x) (52.1%)
    Win32 EXE PECompact compressed (generic) (36.7%)
    Win32 Executable Generic (7.5%)
    Generic Win/DOS Executable (1.7%)
    DOS Executable Generic (1.7%)
    sigcheck:
    publisher....: Comp
    copyright....: n/a
    product......: set
    description..: n/a
    original name: set.exe
    internal name: set
    file version.: 1.00.0204
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
    packers (F-Prot): PecBundle
    0
  10. eZula Messages postés 3509 Statut Contributeur 392
     
    je répète :

    et as-tu leur localisation précise ?
    0
  11. tètè
     
    desole j avais cette partie de la question. Non je ne l ai pas
    0
  12. eZula Messages postés 3509 Statut Contributeur 392
     
    Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

    R3 - Default URLSearchHook is missing
    O2 - BHO: 675873 Class - {030A0F33-5B99-482E-83F5-2EEB8457878B} - C:\WINDOWS\system32\675873\675873.dll (file missing)
    O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"


    - Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked".

    Lance de nouveau HijackThis > "Open the misc tool section" > "Delete a file on reboot"
    -> dans la fenêtre qui s'ouvre, colle ce chemin :
    C:\WINDOWS\system32\net.net
    puis clique sur "Ouvrir"
    Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)

    Poste ensuite le rapport nod32 demandé par GenProc
    0
  13. tètè
     
    Voila le rapport nod32 :

    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=7
    # iexplore.exe=7.00.5730.13 (longhorn(wmbla).070711-1130)
    # OnlineScanner.ocx=1.0.0.6208
    # api_version=3.0.2
    # EOSSerial=a4d0a398fb7e414aa78cc2a5c2252d8a
    # end=finished
    # remove_checked=true
    # archives_checked=true
    # unwanted_checked=true
    # unsafe_checked=true
    # antistealth_checked=true
    # utc_time=2009-10-19 12:27:39
    # local_time=2009-10-19 02:27:39 (+0100, Paris, Madrid (heure d'été))
    # country="France"
    # lang=1036
    # osver=5.1.2600 NT Service Pack 2
    # compatibility_mode=512 16777215 100 0 0 0 0 0
    # compatibility_mode=1023 16777215 0 0 0 0 0 0
    # compatibility_mode=1536 16777215 0 0 7966 7966 0 0
    # compatibility_mode=2815 16777215 0 0 0 0 0 0
    # compatibility_mode=3589 16777214 0 0 0 0 0 0
    # compatibility_mode=4351 16777215 0 0 0 0 0 0
    # compatibility_mode=5119 16777215 0 0 0 0 0 0
    # compatibility_mode=5890 16777214 0 0 0 0 0 0
    # compatibility_mode=8447 16777215 0 0 0 0 0 0
    # scanned=80854
    # found=11
    # cleaned=11
    # scan_time=4837
    C:\Documents and Settings\a\Bureau\SmitfraudFix.exe menaces multiples (supprimé - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Documents and Settings\a\Bureau\SmitfraudFix\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Documents and Settings\a\Bureau\SmitfraudFix\restart.exe Win32/Shutdown.NAA application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Documents and Settings\a\Local Settings\Temp\96.tmp une variante de Win32/Olmarik.OU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Documents and Settings\a\Local Settings\Temp\B1.tmp une variante de Win32/Olmarik.OU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Documents and Settings\a\Local Settings\Temp\cneroxwmas.tmp une variante de Win32/TrojanClicker.Punad.AA cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Documents and Settings\a\Local Settings\Temp\waxmnsoecr.tmp Win32/TrojanDownloader.FakeAlert.ALP cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAgentieu.zip Win32/Bagle.gen.zip ver (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Program Files\Mozilla Firefox\SmitfraudFix\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\Program Files\Mozilla Firefox\SmitfraudFix\restart.exe Win32/Shutdown.NAA application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    C:\WINDOWS\system32\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
    0
  14. eZula Messages postés 3509 Statut Contributeur 392
     
    Où en sont tes problèmes ? (quoiqu'il arrive, il reste encore une ou deux manips)
    0
    1. tètè
       
      spyware doctor me detecte toujours trojan.fake alerte et trojan-downloader.zlob.
      0
  15. eZula Messages postés 3509 Statut Contributeur 392
     
    Essaye de trouver où il les localise, ça ne suffit pas cette information
    0
  16. tètè
     
    Pour trojan.fakealert il detecte un fichier qui est C:\windows\msa.exe et des clés de registre relative a internet explorer et pour l autre trojan juste des cles et des valeurs de registre
    0
  17. tètè
     
    et je ne peux toujours pas redemarrer en mode sans echecs.
    0
  18. eZula Messages postés 3509 Statut Contributeur 392
     
    Scanne le fichier C:\windows\msa.exe sur virustotal
    et précise les clés de registre indiquées par spywaredoctor
    0
  19. tètè
     
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.41 2009.10.19 -
    AhnLab-V3 5.0.0.2 2009.10.19 -
    AntiVir 7.9.1.35 2009.10.19 -
    Antiy-AVL 2.0.3.7 2009.10.19 -
    Authentium 5.1.2.4 2009.10.18 W32/FakeAlert.CO.gen!Eldorado
    Avast 4.8.1351.0 2009.10.18 Win32:MalOb-V
    AVG 8.5.0.420 2009.10.19 Downloader.Generic9.JW
    BitDefender 7.2 2009.10.19 -
    CAT-QuickHeal 10.00 2009.10.18 -
    ClamAV 0.94.1 2009.10.19 -
    Comodo 2656 2009.10.19 -
    DrWeb 5.0.0.12182 2009.10.19 -
    eSafe 7.0.17.0 2009.10.18 -
    eTrust-Vet 35.1.7074 2009.10.19 -
    F-Prot 4.5.1.85 2009.10.18 W32/FakeAlert.CO.gen!Eldorado
    F-Secure 9.0.15300.0 2009.10.16 -
    Fortinet 3.120.0.0 2009.10.19 -
    GData 19 2009.10.19 Win32:MalOb-V
    Ikarus T3.1.1.72.0 2009.10.19 -
    Jiangmin 11.0.800 2009.10.19 -
    K7AntiVirus 7.10.874 2009.10.19 -
    Kaspersky 7.0.0.125 2009.10.19 Packed.Win32.Krap.ag
    McAfee 5775 2009.10.18 Downloader-BWS
    McAfee+Artemis 5775 2009.10.18 Downloader-BWS
    McAfee-GW-Edition 6.8.5 2009.10.19 -
    Microsoft 1.5101 2009.10.19 -
    NOD32 4521 2009.10.19 a variant of Win32/Kryptik.AWD
    Norman 6.03.02 2009.10.17 -
    nProtect 2009.1.8.0 2009.10.19 -
    Panda 10.0.2.2 2009.10.18 Suspicious file
    PCTools 4.4.2.0 2009.10.18 -
    Prevx 3.0 2009.10.19 -
    Rising 21.52.03.00 2009.10.19 -
    Sophos 4.46.0 2009.10.19 -
    Sunbelt 3.2.1858.2 2009.10.18 -
    Symantec 1.4.4.12 2009.10.19 -
    TheHacker 6.5.0.2.046 2009.10.19 -
    TrendMicro 8.950.0.1094 2009.10.19 -
    VBA32 3.12.10.11 2009.10.18 -
    ViRobot 2009.10.19.1993 2009.10.19 -
    VirusBuster 4.6.5.0 2009.10.18 -
    Information additionnelle
    File size: 166400 bytes
    MD5...: 25addc5e3e87ee41cdb5804c5540257d
    SHA1..: 4ac68f49383325bcbc4869bb79e4a8d80b50b74c
    SHA256: 27151d9fe3a3d3290e9e6cdff302b00ad1d66876dd76204cb1286959c11be036
    ssdeep: 3072:rHIuCg3FIAxfKm8PL8AXzxRTeu04jje6Ywc37C:rHLPrSm8N350L6U7C
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1844
    timedatestamp.....: 0x4629a9c7 (Sat Apr 21 06:05:59 2007)
    machinetype.......: 0x14c (I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .b8d1d 0x1000 0x7962 0x7a00 6.65 1603c14285504b94a5a69911433fa5d2
    .342eh 0x9000 0x365e 0x3800 4.67 c64ce57877494d1406d23a478a5a752e
    .gdc6e 0xd000 0x5ef4b 0x1b000 7.15 1931797e7badcd3967682fc4bc5a5ea3
    .8dfa 0x6c000 0x8b1 0xa00 2.98 8403d793a8bfe1163afeded8b673fceb
    .877e1 0x6d000 0x181f 0x1a00 0.01 114bc45ca5b161b4641bedda0944ddf4

    ( 2 imports )
    > KERNEL32.DLL: CreateDirectoryA, FlushFileBuffers, ExitThread, CopyFileExA, AddAtomW, GlobalFree, CopyFileA, OpenFileMappingA, GetCPInfo, FreeResource, FatalExit, GetLocalTime, FindAtomW, GetCommandLineA, OpenFile, CopyFileExW, FindAtomA, DeleteFileW, GetFileTime, DeleteAtom, DeleteFileA, GetLastError, FindClose, GetStdHandle, GetFileType, ExitProcess, AddAtomA
    > KERNEL32.DLL: CreateDirectoryA, ExitProcess, AddAtomW, FindAtomA, GetFileTime, WriteFile, GlobalFree, GetPriorityClass, FindAtomW, GetFileType, DeleteFileW, AddAtomA, FreeResource, CopyFileA, GetLastError, CopyFileExW, DeleteAtom, FindClose, OpenFileMappingA, GetLocalTime, GetStdHandle, ExitThread, FatalExit

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Win32 Executable Generic (35.2%)
    Win32 Dynamic Link Library (generic) (31.3%)
    Win16/32 Executable Delphi generic (8.5%)
    Clipper DOS Executable (8.3%)
    Generic Win/DOS Executable (8.2%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    et voila les cles de registre pour trojan.fakealert :

    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\XML
    HKEY_LOCAL_MACHINE\Software\Microsoft\\Internet Explorerdesktop\General
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\desktop

    et celle pour trojan downloader :

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr\CurVer
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1
    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}\iexplore
    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}
    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}\iexplore
    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}
    0
  20. eZula Messages postés 3509 Statut Contributeur 392
     
    Ok donc supprime si tu trouves encore :

    C:\windows\msa.exe
    C:\WINDOWS\system32\net.net

    PS : utilise HijackThis > "delete on reboot" comme t'avais fait ici https://forums.commentcamarche.net/forum/affich-14808931-problemes-avec-des-trojans-trojan-fakelert#11

    et ensuite :

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1
    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}
    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\desktop
    HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\XML

    Après avoir redémarré, et testé quelques instants que tu jugeras significatifs, dis moi si le problème a disparu
    0