Problème avec TROJ_DLOADER.HD

Luchio -  
 luchio -
Bonjour
Jai chopé ce trojan et je n'arrive pas à lenlevr , l'antivirus ne le trouve pas lui , mais il trouve seulement les fichiers infectés . Dès le démarrage , une page de recherche ce met en place et lalerte virus senclenche , il saffiche TROJ_DLOADER.GE , puis TROJ_DLOADER.HD infecte votre ordi . Jai essayé de lenlever avec raantivirus , a2 et PCCILLIN et rein à faire il est toujours la ! Quelqu'un pourrait-il maider SVP . Luchio

15 réponses

  1. Neo-Nil@u Messages postés 1595 Statut Contributeur 96
     
    Salut Luchio, peux-tu refaire le scan en ligne Ravantivirus et copier-coller le rapport ? Merci !
    0
  2. Luchiot
     
    Re
    Voila jai repassé raantivirus

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\WINNT\xpbxza.dat - TrojanDownloader:Win32/WinShow.AK -> Suspicious
    C:\WINNT\qwyzg.dll - TrojanDownloader:Win32/WinShow.AK -> Suspicious
    C:\WINNT\mlyqf.dll - TrojanDownloader:Win32/WinShow.AK -> Suspicious

    Scanned
    ============================
    Objects: 8227
    Directories: 254
    Archives: 251
    Size(Kb): 1156246
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 3
    Disinfected files: 0
    Mail files: 24
    0
  3. Neo-Nil@u Messages postés 1595 Statut Contributeur 96
     
    Suis le chemin C:\WINNT et supprime les fichiers en gras :

    C:\WINNT\xpbxza.dat
    C:\WINNT\qwyzg.dll
    C:\WINNT\mlyqf.dll

    Reposte ensuite un autre log RAV !
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Luchiot
     
    Scan started at 11/05/2005 16:19:08

    Scanning memory...
    Scanning boot sectors...
    Scanning files...

    Scanned
    ============================
    Objects: 8225
    Directories: 254
    Archives: 251
    Size(Kb): 1156171
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 24

    Il n'ya plus rien d'afficher , je ne trouve plus de symptome du trojan , merci beaucoup pour ton aide !
    0
  6. Luchiot
     
    Dsl je croyais que c'était fini mais non il est toujours la dsl , jespere que tes encore la !!
    0
  7. Luchiot
     
    Re bonjour ,
    jai donc enlever les fichiers compromettants , mais quand je relance internet explorer ils réapparaiisent ???!!merci de maider!
    0
  8. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Non, Neo est chez le dentiste...

    Tu peux faire
    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    a+
    0
  9. luchiot
     
    voila merci de prendre le relais
    Logfile of HijackThis v1.99.1
    Scan saved at 18:02:27, on 11/05/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\RunDll32.exe
    C:\WINNT\system32\RUNDLL32.EXE
    C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
    C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
    C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
    C:\Program Files\Trend Micro\Internet Security\PCClient.EXE
    C:\Program Files\Trend Micro\Internet Security\PCCGUIDE.EXE
    C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
    C:\WINNT\winrh32.exe
    C:\WINNT\explorer.exe
    C:\Program Files\Trend Micro\PC-cillin 9\hijack.this\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\qwyzg.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\qwyzg.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\qwyzg.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\qwyzg.dll/sp.html#12047
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\qwyzg.dll/sp.html#12047
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\qwyzg.dll/sp.html#12047
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\qwyzg.dll/sp.html#12047
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Class - {8477CE10-52DA-0C37-E92B-324E229A6491} - C:\WINNT\sysmt32.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
    O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
    O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [winrh32.exe] C:\WINNT\winrh32.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\RunOnce: [apilz.exe] C:\WINNT\apilz.exe
    O4 - HKLM\..\RunOnce: [apigi32.exe] C:\WINNT\apigi32.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
    O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/
    O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
    O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
    O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
    O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
    0
  10. luchiot
     
    J'ai donc fait le scan voulu , je ne sais pas ce qu'il veut dire !!! mais jespere que tu pourras y trouver un indice de solution!!merci davance
    0
  11. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Pendant que j'analyse ton log, fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici
    log, tu peux egalement faire un scan
    0
  12. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Excuse moi je m'étais trompé de message.

    Ton log m'intrigue alors j'ai des trucs que je voudrais que tu verifies:

    Pour cela tu va aller sur le site:

    http://virusscan.jotti.o

    et tu va verifier les fichiers suivants(a laide de parcourir pour y acceder et submit pour voir les reponses)

    note bien les reponses, à partir du moment ou l'un ou l'autre le qualifie de malware ou autre c'est mort!)

    Voici ce que tu vas epprouver:
    C:\WINNT\winrh32.exe
    C:\WINNT\apilz.exe
    C:\WINNT\apigi32.exe

    A+

    Jean
    0
  13. luchiot
     
    jai la réponse pour winrh32 les autres je ne lai pas trouvé
    winrh32.exe
    Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
    MD5 9281e6b74184a823cafa981fd8610861
    Packers detected: -
    Scanner results
    AntiVir Found nothing
    Avast Found nothing
    AVG Antivirus Found nothing
    BitDefender Found nothing
    ClamAV Found nothing
    Dr.Web Found nothing
    F-Prot Antivirus Found nothing
    Fortinet Found nothing
    Kaspersky Anti-Virus Found nothing
    mks_vir Found nothing
    NOD32 Found probably unknown NewHeur_PE (probable variant)
    Norman Virus Control Found nothing
    VBA32 Found nothing
    0
  14. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    C'est pas normal que tu ne les trouves pas.

    essaie de faire demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    mais tu devrais les trouver.

    faudra car pour moi ce sont tes pbs.

    Jean
    0
    1. luchio
       
      Salut , donc jai bien vérifier et en fait ils sont en quarantaine dans mon antivirus pccillin et pas moyende les sortir ils revienneent toout le temps Luchio
      0
  15. luchiot
     
    Ils sont deja en quarantaine de mon antivirus Luchio
    0