Trojan+internet explorer

Résolu
dunadan -  
 Utilisateur anonyme -
bonjour,

j'ai plusieurs probleme et je ne sais plus quoi faire.

1/ quand je surf sur le net (j'utilise firefox)souvent une trentaine de page internet explorer s'ouvre en arriere plan, ce qui fait ramer l'ordinateur. le seul moyen que j'ai trouver pour continuer a surfer tranquillement c'est de fermer les pages internets une par une dans le gestionnaire des taches. faire sa toute les heures c'est lourd!

2/ quand j'allume l'ordi le matin, il se rallume en boucle des que j'arrive sur windows. Seul moyen, je l'allume en mode sans echecs, je fais un scan avec spybot et supprime tous ce qu'il trouve.

3/ spybot et ad aware marche seulement en mode sans echec, quand je veux les faire fonctionner en mode normal il se ferme tout seul. pour avoir ces logiciel j'ai du demander a un copain de me les passer par msn car je pouvais pas les telecharger moi meme. la page internet se fermait toute seul aussi alors que je peut telecharger d'autre logiciel sans probleme .

4/ j'utilise antivir et il me mets plusieurs warning par exemple winsocks5.exe. je le supprime a chaque fois mais il revient tout le temps.

5/ j'ai des messages comme quoi j'aurais des erreurs dans le registre mais impossible de regler ça. et aussi un message "Le système a récupéré d'une erreur sérieuse."

j'ai fait un hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:48:33, on 18/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\inetm\winlogon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\AxBx\VirusKeeper 2005 Pro Evaluation\VirusKeeper.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\DAO\system32_\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\AIM\aim.exe
C:\WINDOWS\mm1.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Sylvain\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=C:\WINDOWS\inetm\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {07A1076C-2D39-20C8-3D05-0EAA0ED43BF6} - C:\DOCUME~1\Sylvain\APPLIC~1\SOFTDA~1\Up Thunk.exe
O2 - BHO: (no name) - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2005 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [bibdefaultopenproxy] C:\Documents and Settings\All Users\Application Data\mix balm bib default\Grey Bin.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe
O4 - HKLM\..\Run: [WinLiveUpdate] C:\Program Files\Fichiers communs\Microsoft Shared\DAO\system32_\svchost.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\winsocks5.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Gluetime] C:\DOCUME~1\Sylvain\APPLIC~1\EXTRAW~1\theview.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Microsoft AntiSpyware helper - {898E6186-4A40-4902-8E4E-DFFEF4EF359D} - blank (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {898E6186-4A40-4902-8E4E-DFFEF4EF359D} - blank (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Microsoft AntiSpyware helper - {13DDA270-9A5B-487C-B6A0-C352F64E0820} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {13DDA270-9A5B-487C-B6A0-C352F64E0820} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {898E6186-4A40-4902-8E4E-DFFEF4EF359D} - blank (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {898E6186-4A40-4902-8E4E-DFFEF4EF359D} - blank (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {DE46E3B9-1575-4A0C-A57B-776C5A7012B6} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE46E3B9-1575-4A0C-A57B-776C5A7012B6} - (no file) (HKCU)
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://bin.wordsx.cc/nfUFkbkUZDfIiw5tcDzD.chm::/on-line.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} -
O16 - DPF: {43331111-1111-1111-1111-611111195622} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.fr/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D40B62-4FB0-417E-AF2E-C11303BEA3FF}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D40B62-4FB0-417E-AF2E-C11303BEA3FF}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

voila j'espere que vous allez pouvoir m'aider
merci d'avance

1 réponse

  1. Utilisateur anonyme
     
    Bonjour,

    Méthode a suivre dans l'ordre...
    ----------------------------------------------------------------------------
    ¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:

    1/Spybot S&D 1.4 <<nouvelle version
    http://www.safer-networking.org/fr/index.html

    Démo d utilisation (merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    2/Ad-Aware SE 1.06 <<nouvelle version
    http://www.lavasoftusa.com/software/adaware/
    -Une aide:
    http://www.tutopat.com/viewtopic.php?t=1191
    - installe le patch français, tu pourra le trouver ici:
    http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
    et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/adawrevid.asf

    3/Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci a Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ----------------------------------------------------------------------------
    ¤Démarre en mode sans échec :
    Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    ¤Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as télécharger avant)
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    ----------------------------------------------------------------------------
    ¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

    O2 - BHO: (no name) - {07A1076C-2D39-20C8-3D05-0EAA0ED43BF6} - C:\DOCUME~1\Sylvain\APPLIC~1\SOFTDA~1\Up Thunk.exe

    O2 - BHO: (no name) - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)

    O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

    O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - (no file)

    O4 - HKLM\..\Run: [WinService32] svchost

    O4 - HKLM\..\Run: [bibdefaultopenproxy] C:\Documents and Settings\All Users\Application Data\mix balm bib default\Grey Bin.exe

    O4 - HKLM\..\Run: [xp_system]
    C:\WINDOWS\inetm\winlogon.exe

    O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\winsocks5.exe

    O4 - HKCU\..\Run: [Gluetime] C:\DOCUME~1\Sylvain\APPLIC~1\EXTRAW~1\theview.exe

    O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe

    O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://bin.wordsx.cc/nfUFkbkUZDfIiw5tcDzD.chm::/o n-line.exe

    O16 - DPF: {24311111-1111-1121-1111-111191113457} -

    O16 - DPF: {33331111-1111-1111-1111-611111193457} -

    O16 - DPF: {43331111-1111-1111-1111-611111195622} -

    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si present)

    svchost <<< atention, pas celui ds le systeme32
    C:\Documents and Settings\All Users\Application Data\mix balm bib default
    C:\WINDOWS\inetm\winlogon.exe
    C:\WINDOWS\winsocks5.exe

    ----------------------------------------------------------------------------
    ¤ Passe adaware et vire tous se qu il trouve
    ----------------------------------------------------------------------------
    ¤ Passe spybot et vire tous se qu il trouve
    ----------------------------------------------------------------------------
    > Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack

    + mises a jour windows, et au moins le sp1, je te conseilles neanmois le sp2
    http://update.microsoft.com/microsoftupdate/v6/default.aspx

    Précise tes soucis si il en restes....

    Tiens moi au courant

    a+
    0