besoin d'aide pour virer un trojan.. Résolu/Fermé

Question

Bonjour à vous !hé bien voilà, c'est reparti ! j'ai un virus, à priori un trojan..Avast n'arrête pas de sonner...je sais que je peux faire confiance à l'équipe pour résoudre ce problème, je poste un Hi-Jack :Logfile of HijackThis v1.99.1Scan saved at 15:08:23, on 12/09/2005Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINNT\system32\DRIVERS\CDANTSRV.EXEC:\WINNT\System32\svchost.exeC:\WINNT\system32\hidserv.exeC:\PROGRA~1\Iomega\System32\AppServices.exeC:\WINNT\system32\nvsvc32.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\stisvc.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\mspmspsv.exeC:\WINNT\system32\svchost.exeC:\WINNT\Explorer.EXEC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\WINNT\system32\RUNDLL32.EXEC:\Program Files\ahead\InCD\InCD.exeC:\Program Files\Iomega HotBurn Pro\Autolaunch.exeC:\Program Files\Microsoft Hardware\Keyboard\type32.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\Program Files\Winamp\winampa.exeC:\WINNT\system32\internat.exeC:\Program Files\Convertisseur Euro\Euro.exeC:\Program Files\Soulseek\slsk.exeC:\Program Files\Winamp\Winamp.exeC:\Program Files\AutoCAD 2005\acad.exeC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\AdskCleanup.0001C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exeC:\Program Files\Fichiers communs\Autodesk Shared\WSCommCntr1.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Alwil Software\Avast4\ashSimpl.exeC:\Program Files\Alwil Software\Avast4\ashLogV.exeC:\PROGZ\antivirus\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club InternetR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - Startup: Convertisseur Euro.lnk = C:\Program Files\Convertisseur Euro\Euro.exeO4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dllO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/058910ba81108b5bc415/netzip/RdxIE601_fr.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUploader.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exevoici ce que mon antivirus me dit (Avast) :12/09/2005 15:06:32	Administrateur	1888	Sign of "Win32:Trojano-2116 [Trj]" has been found in "C:\WINNT\system32\shnlog.exe\[FSG]" file.  12/09/2005 15:06:14	Administrateur	1888	Sign of "Win32:Favadd-H [Trj]" has been found in "C:\WINNT\system32\ole32vbs.exe" file.  12/09/2005 15:05:40	Administrateur	1888	Sign of "Win32:Trojano-2057 [Trj]" has been found in "C:\WINNT\system32\msole32.exe" file.  12/09/2005 15:05:15	Administrateur	1888	Sign of "Win32:Trojano-2115 [Trj]" has been found in "C:\WINNT\system32\intmonp.exe" file.  12/09/2005 15:04:45	Administrateur	1888	Sign of "Win32:Trojano-2116 [Trj]" has been found in "C:\WINNT\system32\intmon.exe" file.  12/09/2005 15:01:22	Administrateur	1888	Sign of "Win32:Trojano-2115 [Trj]" has been found in "C:\WINNT\popuper.exe\[FSG]" file.  12/09/2005 14:49:06	SYSTEM	592	Sign of "Win32:Trojano-2353 [Trj]" has been found in "http://www.homeoffun.com/downloads/CL1E23/AbsoluCasino.exe" file.  merci d'avance !

jean38 · Answer

salut,en premier tu vas faire ceci:telecharge smitfraudfix ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip dezippe le et lance le en cliquant sur le fichier .bat. choisis l'option 1 (rechercher) fais un copier/coller du résultat ici

jean38 · Answer

Bon, je ne me rappelle plus si le fix fonctionne avec Win 2000, on va le tenter quand même et on verra avec ton log ce qui reste present.alorsdemarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran) 4) relance le prog http://siri.urz.free.fr/Fix/SmitfraudFix.zip choisi l'option 2 et accepte tout. copie le log ensuite. 5)redemarre lance Hijack puis: clic sur "do a system scan and save logfile" et pas autre chose fais un copier coller du log entier ici. A+

sebab · Answer

j'ai fais tout comme tu m'as dis, et apparement c'est pas mal... donc voilà le log smitfraud :SmitFraudFix v1.5Rapport fait à 18:53:11,25 le lun. 12/09/2005Executé à partir de C:\PROGZ\antivirus\smitfraud\SmitfraudFixOS: Microsoft Windows 2000 [Version 5.00.2195]»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectésC:\WINNT\sites.ini suppriméC:\WINNT\system32\hhk.dll supprimé »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapportet voici le rapport hijack :Logfile of HijackThis v1.99.1Scan saved at 19:00:33, on 12/09/2005Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINNT\system32\DRIVERS\CDANTSRV.EXEC:\WINNT\System32\svchost.exeC:\WINNT\system32\hidserv.exeC:\PROGRA~1\Iomega\System32\AppServices.exeC:\WINNT\system32
vsvc32.exeC:\WINNT\system32egsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\stisvc.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\mspmspsv.exeC:\WINNT\system32\svchost.exeC:\WINNT\Explorer.EXEC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\WINNT\system32\RUNDLL32.EXEC:\Program Files\ahead\InCD\InCD.exeC:\Program Files\Fichiers communs\Talkway\vmtalk.exeC:\Program Files\Iomega HotBurn Pro\Autolaunch.exeC:\Program Files\Microsoft Hardware\Keyboard	ype32.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\Program Files\Winamp\winampa.exeC:\WINNT\system32\internat.exeC:\Program Files\Convertisseur Euro\Euro.exeC:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\PROGZ\antivirus\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club InternetR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe"O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - Startup: Convertisseur Euro.lnk = C:\Program Files\Convertisseur Euro\Euro.exeO4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dllO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/058910ba81108b5bc415/netzip/RdxIE601_fr.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUploader.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXEO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32
vsvc32.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exequ'en dis-tu ? ça a l'air propre tout ça, non ? :-)

sebab · Answer

euh...alors, jean38...qu'en penses-tu ?merci en tout cas pour ton aide.a+

jean38 · Answer

et bien pour moi plus rien, cependant pourrais tu tester ce fichier C:\Program Files\Fichiers communs\Talkway\vmtalk.exeen te rendant sur http://virusscan.jotti.orget colle lme rapport.autrement tes pb en sont ou?

ducky69 · Answer

bonsoir Jean

sebab · Answer

bonjour,et bien mes problèmes semblent résolus, donc tout va bien..vmtalk.exe n'est pas un fichier dangereux, c'est un log de vidéo-mail....voilà, merci encore une fois CCM et à toi jean38 !bye!

Besoin d'aide pour virer un trojan..

7 réponses

Discussions similaires