Sujet Précédent Sujet Suivant

Probleme trojan : logiciels de securite

Résolu/Fermé
intello313 - 19 janv. 2010 à 05:11
 intello313 - 19 janv. 2010 à 06:23
Bonjour,
J'ai attrape un trojan sur mon ordinateur qui m'empeche d'ouvrir des logiciels de securite comme les antivirus et les antispywares.
Une icone sur la barre de tache est apparue, qui me montrait une fausse fenetre du centre de securite mais qui a maintenant disparu apres plusieurs redemarrage.
J'ai essaye d'installer d'autre antivirus comme avast et d'autre antispyware comme malware antibytes mais toujours le meme probleme.
Combofix ne s'ouvre pas non plus et vundofix ne trouve rien.
Quand je vais sur mozilla et internet explorer, le trojan me redirige vers d'autre sites de publicite.
J'ai reussi a faire un scan en ligne avec bitdefender. Voici le rapport:

BitDefender QuickScan Beta 32-bit v0.9.9.0
------------------------------------------

Date de l'analyse : Mon Jan 18 08:38:22 2010
ID de la machine : D4081048

attention : Droits insuffisants pour l'exécution. Veuillez lancer QuickScan/le navigateur en tant qu'Administrateur.
Processus Explorer.EXE (3532) est affecté par Gen:Trojan.Heur.Vundo.cu4@d4CKyXk
Processus iexplore.exe (4412) est affecté par Gen:Trojan.Heur.Vundo.cu4@d4CKyXk


1 fichier infecté a été détecté !
-----------------------------------
C:\Windows\System32\H8SRTeqqtmorxrv.dll - Gen:Trojan.Heur.Vundo.cu4@d4CKyXk


Processus
---------
<verifié> Alps Pointing-device Driver 4048 C:\Program Files\Apoint\Apoint.exe
<verifié> Alps Pointing-device Driver for Windows NT/2000/XP 3100 C:\Program Files\Apoint\Apntex.exe
<verifié> Firefox 5600 C:\Program Files\Mozilla Firefox\firefox.exe
<verifié> Intel(R) Common User Interface 1144 C:\Windows\System32\hkcmd.exe
<verifié> Intel(R) Common User Interface 1216 C:\Windows\System32\igfxpers.exe
<verifié> Intel(R) Common User Interface 2760 C:\Windows\system32\igfxsrvc.exe
<verifié> Kaspersky Anti-Virus 1080 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
<verifié> Kaspersky Anti-Virus 4064 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
<verifié> Logitech SetPoint 2648 C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
<verifié> Logitech SetPoint 2344 C:\Program Files\Logitech\SetPoint\SetPoint.exe
<verifié> Système d'exploitation Microsoft® Windows® 1480 C:\Program Files\Windows Media Player\wmpnscfg.exe
<verifié> Système d'exploitation Microsoft® Windows® 3532 C:\Windows\Explorer.EXE
<verifié> Système d'exploitation Microsoft® Windows® 3188 C:\Windows\system32\ctfmon.exe
<verifié> Système d'exploitation Microsoft® Windows® 3468 C:\Windows\system32\Dwm.exe
<verifié> Système d'exploitation Microsoft® Windows® 3520 C:\Windows\system32\taskeng.exe
<verifié> Windows® Internet Explorer 4412 C:\Program Files\Internet Explorer\iexplore.exe


Activité du réseau
------------------
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 193.25.197.120
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 193.25.197.120
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - lb4.celeonet.fr
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 72.14.204.164
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - qw-in-f138.1e100.net
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 165.254.148.176
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 165.254.148.176
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 165.254.148.176
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 165.254.148.176
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - mojofarm.mediaplex.com
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 72.14.204.157
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 72.14.204.104
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 72.14.204.157
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 72.14.204.157
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - abricotmedia.europeanservers.net
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - qw-in-f138.1e100.net
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - img.mediaplex.com
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 87.98.169.72
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 72.14.204.164
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - *.122.2o7.net
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 165.254.148.176
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - a96-6-156-20.deploy.akamaitechnologies.com
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 91.121.46.1
Processus firefox.exe (5600) connecté sur le port 80 (HTTP) - 165.254.148.192



Fichiers critiques et Autorun
-----------------------------
<non signé> VAIO Event Service VESWinlogon.dll

<verifié> Alps Pointing-device Driver C:\Program Files\Apoint\Apoint.exe
<verifié> HD Audio Control Panel C:\Windows\RtHDVCpl.exe
<verifié> Intel(R) Common User Interface C:\Windows\System32\hkcmd.exe
<verifié> Intel(R) Common User Interface C:\Windows\System32\igfxpers.exe
<verifié> Intel(R) Common User Interface C:\Windows\system32\igfxtray.exe
<verifié> Intel(R) Common User Interface igfxdev.dll
<verifié> Kaspersky Anti-Virus C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
<verifié> Kaspersky Anti-Virus c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll
<verifié> Kaspersky Anti-Virus c:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\mzvkbd3.dll
<verifié> Kaspersky Anti-Virus C:\Windows\system32\klogon.dll
<verifié> Logitech SetPoint C:\Program Files\Logitech\SetPoint\SetPoint.exe
<verifié> Logitech SetPoint C:\Windows\KHALMNPR.EXE
<verifié> Système d'exploitation Microsoft® Windows® C:\Program Files\Windows Media Player\wmpnscfg.exe
<verifié> Système d'exploitation Microsoft® Windows® C:\Windows\System32\browseui.dll
<verifié> Système d'exploitation Microsoft® Windows® c:\windows\system32\userinit.exe
<verifié> Windows Defender C:\Program Files\Windows Defender\MSASCui.exe
<verifié> Windows® Internet Explorer C:\Windows\System32\webcheck.dll


Plugins du navigateur
---------------------
<non signé> BitCometAgent C:\Program Files\Mozilla Firefox\plugins\npBitCometAgent.dll
<non signé> Bonjour C:\Program Files\Bonjour\mdnsNSP.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins\npqtplugin.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins\npqtplugin2.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins\npqtplugin3.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins\npqtplugin4.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins\npqtplugin5.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins\npqtplugin6.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Internet Explorer\plugins\npqtplugin7.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
<non signé> QuickTime Plug-in 7.6.4 C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
<non signé> Skype add-on for IE c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll

<verifié> 2007 Microsoft Office system C:\Program Files\Mozilla Firefox\plugins\NPOFF12.DLL
<verifié> AcroIEHelper Library C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
<verifié> Adobe Acrobat C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
<verifié> BitDefender QuickScan C:\Users\Jean Louis\AppData\Roaming\Mozilla\Firefox\Profiles/ndwc51pq.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
<verifié> BitDefender QuickScan C:\Users\Jean Louis\AppData\Roaming\Mozilla\Firefox\Profiles/ndwc51pq.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
<verifié> Java Deployment Toolkit 6.0.160.1 C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
<verifié> Java(TM) Platform SE 6 U16 C:\Program Files\Java\jre6\bin\jp2ssv.dll
<verifié> Kaspersky Anti-Virus C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
<verifié> Kaspersky Anti-Virus C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
<verifié> Microsoft® Windows Live Login Helper C:\Program Files\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll
<verifié> Microsoft® Windows® Operating System C:\Windows\System32\nlaapi.dll
<verifié> Microsoft® Windows® Operating System C:\Windows\System32\winrnr.dll
<verifié> Mozilla Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
<verifié> npitunes.dll C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
<verifié> NPSWF32.dll C:\Windows\system32\Macromed\Flash\NPSWF32.dll
<verifié> Picasa C:\Program Files\Google\Picasa3\npPicasa3.dll
<verifié> Silverlight Plug-In c:\Program Files\Microsoft Silverlight\3.0.40818.0\npctrl.dll
<verifié> Spybot - Search & Destroy C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
<verifié> Système d'exploitation Microsoft® Windows® C:\Windows\System32\mswsock.dll
<verifié> Système d'exploitation Microsoft® Windows® C:\Windows\System32\NapiNSP.dll
<verifié> Système d'exploitation Microsoft® Windows® C:\Windows\System32\pnrpnsp.dll
<verifié> Windows Live® Photo Gallery C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
<verifié> Windows Presentation Foundation c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
<verifié> Windows® Internet Explorer C:\Windows\System32\ieframe.dll


Fichiers manquants
------------------
Fichier non trouvé : C:\Users\JEANLO~1\AppData\Local\Temp\cls_pack.exe
référencé dans : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"cls_pack.exe"


Analyse
-------

Aucun fichier téléchargé vers le serveur.

Analyse terminée - la communication a duré 2 secondes
Trafic total - 0.04 Mo envoyés, 2.86 Ko reçus
964 fichiers et modules analysés - 56 seconds

Comme vous pouvez le voir, Processus Explorer.EXE (3532) et Processus iexplore.exe (4412) sont affectés par Gen:Trojan.Heur.Vundo.cu4@d4CKyXk.
Ce fichier est infecte :C:\Windows\System32\H8SRTeqqtmorxrv.dll
Mais comme je ne peux ouvrir aucun logiciel de securite, je ne sais pas comment l'enlever.

Si quelqu'un peut m'aider...
Merci
A voir également:

7 réponses

Réponse 1 / 7
fabul Messages postés 39166 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 12 novembre 2024 5 414
19 janv. 2010 à 05:19
Bonjour,

Télécharge et installe Regrun Reanimator Par Greatis Software.

Démarre le,
Clic sur "scan for viruses",
Clic sur scan windows startup,
Coche la case "Use deep level scanning once (For advanced users)",

Important:Prends des notes sur la suite des opérations avec du Papier et un crayon:

Clic sur "Reboot" et confirme que tu veut redémarrer avec "Oui" pour redémarrer et analyser avant que le bureau apparaisse,
Clic sur la flèche verte "Fix problems",
* Si il te propose Regguard,répond Non,
Quand tu verra le nom d'un item détecté,fait clic droit / "Save to file" et sauvegarde dans (Fichier 1.txt),
Clic sur la flèche (Verte droite) pour passer a l'item suivant, "Save to file" sauvegarde dans (Fichier 2.txt)

Poste ici le contenu des fichiers rapports 1.txt 2.txt ... que tu aurra sauvegardé (par défaut dans Mes Documents).

Tu pourra au passage choisir "Get it out" Terminate" et "Reboot" pour H8SRTeqqtmorxrv.dll
0
Réponse 2 / 7
intello313
19 janv. 2010 à 05:23
Ok j'essaye ca tout de suite.
Merci
0
Réponse 3 / 7
intello313
19 janv. 2010 à 05:57
J'ai reussi a installer et a ouvrir le logiciel. J'ai suivi tes instructions. Il a trouve 10 objets suspicieux. Voici les rapports:

Item Name: MagicISO
Author: MagicISO, Inc.
Related File: C:\Program Files\MagicISO\misosh.dll
Type: Context Menu Handlers

Item Name: Pml Driver HPZ12
Author: Hewlett-Packard
Related File: C:\Windows\system32\HPZipm12.dll
Type: Svchost DLLs

Item Name: Net Driver HPZ12
Author: Hewlett-Packard
Related File: C:\Windows\system32\HPZinw12.dll
Type: Svchost DLLs

Item Name: WDBtnMgrSvc.exe
Author: WDC
Related File: "C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe"
Type: Auto Services

Item Name: GarenaPEngine
Author:
Related File: \??\C:\Users\JEANLO~1\AppData\Local\Temp\BPWB470.tmp
Type: Services detected by Partizan

Item Name: H8SRTd.sys
Author:
Related File: \systemroot\system32\drivers\H8SRTpsirrqyulr.sys
Type: Services detected by Partizan

Item Name: SynasUSB
Author: SIA Syncrosoft
Related File: system32\drivers\SynasUSB.sys
Type: Services detected by Partizan

Item Name: TIEHDUSB
Author: Texas Instruments Incorporated
Related File: system32\drivers\tiehdusb.sys
Type: Services detected by Partizan

Item Name: ZMGHPAudioSrv
Author: ZOOM
Related File: system32\drivers\zmghpau.sys
Type: Services detected by Partizan

Item Name: SHSVCS.DLL
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\SHSVCS.DLL
Type: Infected System Files
0
Réponse 4 / 7
fabul Messages postés 39166 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 12 novembre 2024 5 414
19 janv. 2010 à 06:04
Redémarre le programme,
Clic sur "scan for viruses",
Clic sur scan windows startup,
Coche la case "Use deep level scanning once (For advanced users)",
Clic sur "Reboot" et confirme que tu veut redémarrer avec "Oui"
Clic sur la flèche verte "Fix problems",
* Si il te propose Regguard,répond Non,
Quand tu verra le nom d'un item:

Item Name: GarenaPEngine
Author:
Related File: \??\C:\Users\JEANLO~1\AppData\Local\Temp\BPWB470.tmp
Type: Services detected by Partizan

Item Name: H8SRTd.sys
Author:
Related File: \systemroot\system32\drivers\H8SRTpsirrqyulr.sys
Type: Services detected by Partizan

Choisit "Get it out" "Terminate" "Reboot"

Pour les autres,passe avec la flèche.

Si au passage tu revoit H8SRTeqqtmorxrv.dll fait de mème pour lui aussi,(Get it out)

Le reste semble bon.

Ensuite,Installe Malwarebytes fait une analyse complète et poste un rapport.

Avant de désinstaller Reanimator si tu le désinstalle,Utilise Uninstall Partizan dans un onglet du logiciel.

Utilise tu Vista 64 bit?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
intello313
19 janv. 2010 à 06:11
Merci, j'ai supprime le fichier comme tu l'as dit 'H8SRTd.sys '.
J'arrive maintenant a ouvrir spybot, windows defender et j'arrive a naviguer sur des sites webs. Le trojan semble avoir ete supprime.
Pour en etre sur, je fais un scan avec spybot ensuite je vais installer malware ensuite.
Non j'utilise la version windows 32 bits.

Merci encore pour ton aide tres precieuse. Je te tiens au courant de la suite.
0
Réponse 6 / 7
fabul Messages postés 39166 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 12 novembre 2024 5 414
19 janv. 2010 à 06:17
Quand quelqu'un suit les conseils et que ça donne de bons résultats,ça fait plaisir d'aider.

Tu vérifira si H8SRTeqqtmorxrv.dll existe encore,
0
Réponse 7 / 7
intello313
19 janv. 2010 à 06:23
Ok j'attends la fin des analyses avant de mettre que ce probleme soit "resolu".

Merci encore fabul.
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses