Bonjour tout le monde, Je rencontre un problème actuellement, j'ai des messages qui n'arretent pas de sortir me signalant que ma machine est en danger, je sais que c a cause d'un troyen, je crois que c'est hclean32.exe (puisque norton le met en quaranatine a chaque fois), j'ai fais un scan avec hijackthis, je vous remercie pour toute aide : Logfile of HijackThis v1.99.1 Scan saved at 14:58:49, on 29/08/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\regsvc.exe C:\Program Files\Symantec AntiVirus\SavRoam.exe C:\WINNT\system32\MSTask.exe C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\hkcmd.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe C:\WINNT\bfehfpxm.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\WINNT\system32\internat.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\notepad.exe C:\orant\BIN\RWBLD60.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINNT\system32\wuauclt.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aljazeera.net/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O1 - Hosts: 172.20.0.2 ntserver_pdc O1 - Hosts: 172.20.20.1 comptsrv.comptabilite O1 - Hosts: 172.20.0.3 intranet_cdg O1 - Hosts: 172.20.10.10 isfs1-cdg loghost elsd_1_2100 O1 - Hosts: 12.5.90.7 reuters-source O1 - Hosts: 12.5.90.6 amsnbrt O1 - Hosts: 172.20.10.3 kondorn0 O1 - Hosts: 172.20.10.4 kondorn1 O1 - Hosts: 172.20.10.10 isfs1-cdg elsd_1_2100 elsd-1-2100 isfs1 O1 - Hosts: 172.20.10.2 kondor-aws aws O1 - Hosts: 172.20.10.5 sybase-lh krs O1 - Hosts: 172.20.40.3 laser_printer O1 - Hosts: 172.20.30.3 ressourcesrv O1 - Hosts: 172.20.0.222 siegemail1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [absrq] C:\WINNT\bfehfpxm.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINNT\system32\shdocvw.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU) O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (HKCU) O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\PROGRA~1\QUESTS~1\TOADFO~2\RNetPin.dll O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE O23 - Service: OracleHOME_9iClientCache - Unknown owner - D:\oracle9i\BIN\ONRSD.EXE O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Probleme avec hclean32.exe - Page 2

Réponse 21 / 22

Utilisateur anonyme

ok

1/

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

R3 - Default URLSearchHook is missing

valider en cliquant sur [fix checked]

2/

deconnecte toi d'internet

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hclean32.exe"=-
"dmbxp.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{BF69DF00-2734-477F-8257-27CD04F88779}]

[-HKEY_CURRENT_USER\Software\WareOut]

Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner

3/

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

@echo off

attrib -r -s -h %windir%\System32\rdsndin.exe
del /a /f %windir%\System32\rdsndin.exe
attrib -r -s -h %windir%\System32\loadctr32.exe
del /a /f %windir%\System32\loadctr32.exe
attrib -r -s -h %windir%\System32\dmbxp.exe
del /a /f %windir%\System32\dmbxp.exe
attrib -r -s -h %windir%\System32\hclean32.exe
del /a /f %windir%\System32\hclean32.exe
attrib -r -s -h %windir%\System32\ntfsnlpa.exe
del /a /f %windir%\System32\ntfsnlpa.exe
attrib -r -s -h %windir%\System32\dllhstgp.exe
del /a /f %windir%\System32\dllhstgp.exe
attrib -r -s -h %windir%\System32\csfeb.exe
del /a /f %windir%\System32\csfeb.exe

Puis enregistrer sous et dans:
Nom du fichier, met hcfix.bat
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur hcfix.bat

supprime le dossier C:\program files\WareOut s'il existe

4/

redemarre le pc en mode sans echec et vide le cache de ton navigateur.

vider tout le contenu des dossiers Temp:

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Temp <- s'il existe
* C:\Windows\Temp

repasse hcfix.bat

5/

redemarre le pc normallement et reposte un hijack + un silentrunner

a+

Réponse 22 / 22

Naouel

Bonjour,
J'ai également le Trojan Hclean32.
J'ai du mal a suivre votre conversation, concretement est ce qu'il y a une solution ??
Grâce aux conseils de quelqu'un sur ce forum, j'ai déjà essayé AdAware SE, Spy bot, a²free, smirtfraudfix et tout ça en mode sans échec. Mais ça n'a rien donné...

Est ce que vous connaissez le conséquences de ce virus ?

Discussions similaires

comment convertir un logiciel .exe en .dmg

un lien pour telecharger sndrec32.exe

Discussions similaires

Newsletters