Probleme de virus trojan downloader.win32.kee

faces Messages postés 2 Statut Membre -  
 bernie61 -
J'ai détecté un virus du nom de trojan downloader.win32.keenval.f ça va faire le 2e en très peut de temps et comme je débute en info je me fais du souci. Si quelqu'un a des infos merci de me faire signe.

11 réponses

  1. Utilisateur anonyme
     
    salut faces,
    ou te le detecte t il?

    a+
    0
  2. faces Messages postés 2 Statut Membre
     
    Salut Regis59 merci de m'avoir fait signe.Le virus trojan downloader.win32.wintool.a se situe dans mes documents. Jfonctionne avec windows XP. J'ai un antivirus du nom de F-secure, mais inutile comme tu peux t'en douter.Je me suis rendu sur le site sans résultat car il n'est pas encore répertorié. Grand Regis59 j'accepte ton aide avec plaisir.
    0
  3. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut t'as pris un peu des coup de crampon??

    Ta secretaire
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    salut jean
    je les evite moi les coups lol,

    Je suis le roi du terrain, diego maradona (sans la drogue) lol

    bonne nuit
    0
    1. Faces
       
      salut Regis59 j'ai suivi ton conseil mais il y a un hic pour moi, c'est à dire que sur le site de Bitdefender le virus trojan downloader.win32.wintool.a
      0
  6. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    et pour les kilos???
    je parle de maradonna... lol.

    content de te revoir avec cette peche..
    0
  7. Utilisateur anonyme
     
    salut faces
    télécharge HijackThis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (merci à balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+

    (et si tu peux coller le rapport de bitdenfer)

    PS: Jean euh nan les kiles faut pas en parler non plus lol
    0
  8. abdarrahmane
     
    Logfile of HijackThis v1.99.1
    Scan saved at 12:30:07, on 16/10/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\System32\LVCOMSX.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Menara\dslmon.exe
    C:\Program Files\Netscape\Netscape\Netscp.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SPOOLSV.EXE
    N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\youssef\Application Data\Mozilla\Profiles\default\jxx35jif.slt\prefs.js)
    N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\youssef\Application Data\Mozilla\Profiles\default\jxx35jif.slt\prefs.js)
    O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
    O1 - Hosts: 82.179.166.164 lender-search.com
    O1 - Hosts: 82.179.166.165 hot-searches.com
    O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll (file missing)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Class - {2822C00C-CF0F-0B42-899D-E9566314265A} - C:\WINDOWS\system32\crdk32.dll (file missing)
    O2 - BHO: Class - {480FD7B8-9C94-4598-144C-7C3EDF5DB036} - C:\WINDOWS\system32\ntjy.dll
    O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [NTCommLib3] C:\WINDOWS\System32\NTCommLib3.exe
    O4 - HKLM\..\Run: [BI1HelperStartUp] C:\PROGRA~1\BEACHI~1\BI1HEL~1.EXE /partner BI1
    O4 - HKLM\..\Run: [ntfn.exe] C:\WINDOWS\system32\ntfn.exe
    O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\evntsvc.exe -osboot
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
    O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_download.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127664529282
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{75D3D6C4-578C-4774-82E6-82D6A7349B49}: NameServer = 212.217.1.4 212.217.0.13
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    0
  9. abdarrahmane
     
    aidez moi svp je veux plus de ce VIRUS
    et merci d'avance;)
    0
  10. bernie61
     
    salut
    1. Télécharger SmitfraudFix du site de S!Ri sur le bureau par exemple:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    2. désactiver l’antivirus (car est détecté faussement comme virus malware)
    3. décomprimer SmitfraudFix
    4. Lancer SmitfraudFix, et choisir l’option 1 ; copier le rapport ici ;
    5. Redémarrer l’ordi en mode sans échec ;
    6. vérifier que l’antivirus est toujours désactivé
    7. Relancer SmitfraudFix à nouveau mais choisir l’option 2 et accepter les demandes, copier le log ;
    8. Redémarrer l’ordi en mode normal,
    9. vérifier le redémarrage de l’antivirus si cela n’est pas automatique et refaire un Hijackthis
    http://www.merijn.org/files/hijackthis.zip
    et copier/coller le rapport ici avec le 2ème rapport de smitfraud;

    ensuite
    Installe ce nettoyeur CCLEANER http://www.ccleaner.com/ ensuite
    *Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
    Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
    - afficher les fichiers et dossier cachés
    - afficher contenu dossier système
    décocher
    - masquer fichiers protégés du dossier système
    Puis cliquer APPLIQUER à TOUS les Dossiers

    1. Tu connais ça ? non, alors vérifie (cliq droit souris/propriété) si inconnu ZIP compresse le fichier et efface le .EXE (sinon à vérifier là http://virusscan.jotti.org/ fichier par fichier Parcourir puis SEND lance ce multiple scanneur antivirus)
    C:\WINDOWS\system32\ntjy.dll >>??

    2. Relances Hijackthis et coche (puis FIX) (celles qui sont encore là)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702 > toutes celles là
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702 > toutes celles là
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xfjpu.dll/sp.html#17702
    R3 - Default URLSearchHook is missing
    O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
    O1 - Hosts: 82.179.166.164 lender-search.com
    O1 - Hosts: 82.179.166.165 hot-searches.com
    O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll (file missing)
    O2 - BHO: Class - {2822C00C-CF0F-0B42-899D-E9566314265A} - C:\WINDOWS\system32\crdk32.dll (file missing)
    O2 - BHO: Class - {480FD7B8-9C94-4598-144C-7C3EDF5DB036} - C:\WINDOWS\system32\ntjy.dll > si inconnu
    O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
    O4 - HKLM\..\Run: [ntfn.exe] C:\WINDOWS\system32\ntfn.exe
    O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe
    O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
    O16 >> TOUTES les lignes

    3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
    C:\WINDOWS\system32\xfjpu.dll
    C:\WINDOWS\system32\ntjy.dll >> si inconnu
    C:\WINDOWS\system32\ntfn.exe
    C:\Program Files\P.S.Guard\PSGuard.exe >> tout le répertoire PSGuard

    5. vider les répertoires temps et la corbeille, en lançant Ccleaner
    Refais un hijackthis de contrôle
    a+
    0
    1. faces
       
      merci Bernie61 pour toutes ces infos je les gardes en mémoire. le virus trojan qui était sur mon PC a disparu par je ne sais quelle voie. Je n'ai rien effectué pour désinfecter mon ordinateur. Désolés pour la perte de temps, je saurais quoi faire en cas dinfection par ce trojan. Merci encore à Plus
      0
  11. bernie61
     
    re
    ok bon surf alors et n'hésites pas à revenir
    a+
    0