PC Infecté : Cheval de Troie TR/Dropper.Gen

Freatox -  
 Utilisateur anonyme -
Bonjour,

J'aimerais savoir si un helper confirmé pourrait m'aider pour "nettoyer de fond en comble" mon PC et surtout avant tout de supprimer le cheval de Troie TR/Dropper.Gen de mon ordinateur infecté.

Je vais poster un rapport Hijackthis.

Merci beaucoup pour toute aide !!
Configuration: Windows XP
Firefox 3.0.15

3 réponses

Résumé de la discussion

Une demande vise le nettoyage en profondeur d'un PC infecté par le cheval de Troie TR/Dropper.Gen et la suppression prioritaire de ce malware, avec un rapport HijackThis à partager. Plusieurs échanges portent sur l'utilisation d'outils tels que GMER et HijackThis, avec des difficultés à enregistrer un log ou à interpréter les résultats, et des conseils techniques. Le fil comprend le rapport HijackThis détaillé et des éléments infectieux listés par USBFix, associé à des indications sur des programmes au démarrage et des services à nettoyer. En outre, certains évoquent l’éventuelle défaillance du disque dur et recommandent USBFix, tout en conseillant de sauvegarder les données et d’évaluer l'état matériel.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Freatox
     
    Voilà le rapport hijackthis de mon PC :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:39:36, on 24.01.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16945)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\AhnRpta.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O2 - BHO: (no name) - {02478d38-c3f9-4efb-9b51-7695eca05670} - (no file)
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [cdoosoft] C:\DOKUME~1\your\LOKALE~1\Temp\herss.exe
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe" -autorun
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O8 - Extra context menu item: mit image converter 3 übertragen - C:\PROGRAMME\SONY\IMAGE CONVERTER 3\menu.htm
    O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O11 - Options group: [java_sun] Java (Sun)
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
    O23 - Service: Avira AntiVir Planificateur (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe (file missing)
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe (file missing)
    O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: Image Converter SCSI Service (ICScsiSV) - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\ICScsiSV.exe
    O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMon.exe
    O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
    O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
    0
    1. Utilisateur anonyme
       
      bonsoir
      Télécharge USBFix (de El Desaparecido, C_XX et Chimay8) sur ton bureau
      http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­
      ou
      https://www.ionos.fr/?affiliate_id=77097

      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

      # Double clic sur le raccourci UsbFix présent sur ton bureau .

      # Sélectionne l'option 1 ( Recherche )

      # Laisse travailler l'outil.

      # Ensuite poste le rapport UsbFix.txt qui apparaitra.

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

      # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
      0
    2. Freatox > Utilisateur anonyme
       
      Salut Nathandre !
      Merci d'être encore là cette fois pour moi, c'est vraiment super sympa. J'ai, du coup, déjà USBfix donc je fais tout ça demain si j'ai le temps parce que du coup c'est plus trop les vacances pour moi et j'ai un peu de boulot. Cette fois-ci, on pourra prendre notre temps (pas comme en début décembre ;) si t'es ok. Donc je t'envoie un rapport USBfix dès que possible demain, on marche comme ça?

      Encore Merci à toi !
      0
    3. Utilisateur anonyme > Freatox
       
      bonsoir
      non non, il faut supprimer USBFix, car il n'est pas à jour, il faut le télécharger
      demain, j'aurai un peu de temps dans l'après-midi
      0
    4. Freatox > Utilisateur anonyme
       
      Salut,

      désolé, j'ai eu le temps de faire tourner Usbfix qu'aujourd'hui (supprimé et retéléchargé), donc voilà le rapport :


      ############################## | UsbFix V6.082 |

      User : your (Administratoren) # ALEX-27A2A99469
      Update on 29/01/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 23:12:50 | 29.01.2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      Intel(R) Pentium(R) D CPU 3.40GHz
      Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 7.0.5730.11
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

      A:\ -> 3,5 Zoll-Diskettenlaufwerk
      C:\ -> Lokale Festplatte # 232,88 Go (26,81 Go free) # NTFS
      D:\ -> CD
      E:\ -> CD
      F:\ -> CD
      G:\ -> CD
      H:\ -> Wechseldatenträger # 1,91 Go (81,1 Mo free) # FAT32
      I:\ -> Lokale Festplatte # 465,7 Go (302,74 Go free) # FAT32
      J:\ -> Wechseldatenträger # 973,2 Mo (175,31 Mo free) # FAT
      K:\ -> Wechseldatenträger # 3,76 Go (1,24 Go free) # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe 588
      C:\WINDOWS\system32\csrss.exe 636
      C:\WINDOWS\system32\winlogon.exe 660
      C:\WINDOWS\system32\services.exe 704
      C:\WINDOWS\system32\lsass.exe 716
      C:\WINDOWS\system32\Ati2evxx.exe 900
      C:\WINDOWS\system32\svchost.exe 916
      C:\WINDOWS\system32\svchost.exe 1000
      C:\WINDOWS\System32\svchost.exe 1040
      C:\WINDOWS\system32\svchost.exe 1080
      C:\WINDOWS\system32\svchost.exe 1156
      C:\WINDOWS\system32\svchost.exe 1192
      C:\WINDOWS\system32\Ati2evxx.exe 1552
      C:\WINDOWS\system32\spoolsv.exe 1696
      C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe 1740
      C:\WINDOWS\Explorer.EXE 1748
      C:\Programme\Avira\AntiVir Desktop\sched.exe 1804
      C:\WINDOWS\system32\svchost.exe 1844
      C:\WINDOWS\AhnRpta.exe 2012
      C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 188
      C:\Programme\Java\jre1.6.0_07\bin\jusched.exe 264
      C:\WINDOWS\system32\ctfmon.exe 292
      C:\Programme\DAEMON Tools Pro\DTProAgent.exe 444
      C:\Programme\Avira\AntiVir Desktop\avguard.exe 568
      C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe 1064
      C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe 1148
      C:\WINDOWS\system32\svchost.exe 1400
      C:\WINDOWS\System32\alg.exe 2528
      C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe 2668
      C:\WINDOWS\system32\wuauclt.exe 2372
      C:\Programme\Mozilla Firefox\firefox.exe 2348
      C:\WINDOWS\system32\wbem\wmiprvse.exe 9616

      ################## | Elements infectieux |

      C:\WINDOWS\AhnRpta.exe
      C:\WINDOWS\System32\nmdfgds0.dll
      C:\WINDOWS\System32\nmdfgds1.dll
      C:\WINDOWS\System32\softqq0.dll
      C:\DOKUME~1\your\LOKALE~1\Temp\cvasds0.dll
      C:\DOKUME~1\your\LOKALE~1\Temp\cvasds1.dll
      C:\DOKUME~1\your\LOKALE~1\Temp\herss.exe
      C:\autorun.inf
      C:\autorun.inf -> fichier appelé : "C:\df.exe" ( Présent ! )
      C:\8xcrbho6.exe
      C:\9fo3ar0j.exe
      C:\9xf8.exe
      C:\c2e.exe
      C:\df.exe
      C:\e9naq.exe
      C:\f2kmj.exe
      C:\kmj.exe
      C:\mh.exe
      C:\qkm.exe
      C:\rbj9jn1n.bat
      C:\sywyrl0q.exe
      C:\yudald.bat
      H:\9xf8.exe
      H:\df.exe
      H:\f2kmj.exe
      H:\kmj.exe
      H:\qkm.exe
      H:\rbj9jn1n.bat
      H:\yudald.bat
      I:\8xcrbho6.exe
      I:\9fo3ar0j.exe
      I:\9xf8.exe
      I:\c2e.exe
      I:\df.exe
      I:\e9naq.exe
      I:\f2kmj.exe
      I:\kmj.exe
      I:\mh.exe
      I:\qkm.exe
      I:\sywyrl0q.exe
      I:\yudald.bat
      J:\autorun.inf
      J:\autorun.inf -> fichier appelé : "J:\df.exe" ( Présent ! )
      J:\9fo3ar0j.exe
      J:\df.exe
      J:\g1ljsm.com
      J:\kmj.exe
      J:\rbj9jn1n.bat
      J:\rwj0.cmd
      K:\df.exe
      K:\kmj.exe
      K:\rbj9jn1n.bat

      ################## | Registre |

      [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72}"
      [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
      [HKCR\CLSID\{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72}]
      [HKCR\CLSID\MADOWN]
      [HKLM\Software\Classes\CLSID\{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72}]
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

      ################## | Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\{7170b17c-fd4f-11dd-a3be-02112233c16c}
      Shell\AutoRun\command =H:\qkm.exe
      Shell\open\Command =H:\qkm.exe

      HKCU\..\..\Explorer\MountPoints2\{810436e4-a90e-11dd-a327-02112233c16c}
      Shell\AutoRun\command =F:\g1ljsm.com
      Shell\open\Command =F:\g1ljsm.com

      HKCU\..\..\Explorer\MountPoints2\{df40ac7a-cd97-11db-93d7-02112233c16c}
      Shell\AutoRun\command =J:\9fo3ar0j.exe
      Shell\open\Command =J:\9fo3ar0j.exe

      ################## | ! Fin du rapport # UsbFix V6.082 ! |
      0
    5. Utilisateur anonyme > Freatox
       
      bonsoir
      sacrée infection
      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

      # Double clic sur le raccourci UsbFix présent sur ton bureau

      # Sélectionne l'option 2 ( Suppression )

      # Ton bureau disparaitra et le pc redémarrera .

      # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

      # Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
      0
  2. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Bonsoir a vous deux ;)

    ndis.sys

    @+
    0
    1. Utilisateur anonyme
       
      bonsoir jfkprésident
      j'ai regardé le lien, et le fichier trouvé par l'anti-virus n'a pas l'air sain
      0
  3. Freatox
     
    Salut.

    Je suis désolé, j'ai mis un peu de temps à répondre. Malheureusement, entretemps un ami est passé chez moi avec sa clef USB et l'a branchée à mon PC : il m'a fait partager des fichiers qu'il voulait me montrer et tout s'est bien déroulé et on a éteint le PC quand on avais fini. Ceci dit, au prochain redémarrage après cette épisode (auourd'hui) le PC me signale :
    "Fehler beim Lesen des Datenträgers" (j'ai un windows allemand)
    qui veut dire :
    "Erreur en lisant le support de données (ou la base de données?)"
    "pour redémarrer : ctrl+alt+supr"

    Je fais ctrl+alt+supr mais le même message s'affiche encore et encore à chaque redémarrage (après que les premiers texte s'affichent au démarrage du PC, tu sais? Je sais pas comment ça s'appelle cette espèce de "générique" au démarrage d'un PC).

    Donc :
    impossibilité d'avoir accès à mon PC puisqu'il bloque au démarrage tout simplement.

    Devrait-je faire l'espèce de manip' que j'ai vu certains faire au démarrage du PC en appuyant sur un des F1, F2, F3 etc. après que le "bip de démarrage" du PC retentit (ou à un moment du démarrage proche de celui-là)? Puis une fois cet espèce d'écran en 2 couleurs affiché, faut-il faire un manip' quelconque pour que l'ordi arrive au moins à redémarrer jusqu'au bout?

    Merci de m'aider. S'il faut que je me connecte en temps réel pour suivre les instructions au cas où il y ait des choix divers et des imprévus possibles dans la manip', je veux bien le faire, on peut se donner une sorte de RDV. Sinon, les instructions de base me suffiront peut être, je n'en sais rien. Je te laisse me le dire Nathandre, si tu le veux bien.

    Merci encore !
    0
    1. Utilisateur anonyme
       
      bonsoir
      c'est lors du démarrage du BIOS que cela bloque ?
      0
    2. Freatox > Utilisateur anonyme
       
      Oui c'est bien ça. Lors du BIOS, si c'est bien le premier programme qui s'exécute lors du démarrage du PC, c'est là qu'intervient le problème. Le BIOS défile un bout de temps, puis disparait (écran noir), puis un curseur blanc clignote en haut à droite, puis m'affiche le message d'erreur écris plus haut.
      0
    3. Freatox > Freatox
       
      pardon...
      en haut à GAUCHE !...
      0
    4. Freatox > Freatox
       
      Bref. L'ordi bloque au démarrage du BIOS, et m'affiche le message en haut à gauche.
      0
    5. Utilisateur anonyme > Freatox
       
      je crains que cela vient du disque dur
      0