trojan horse TR/Dldr.lsBar.IS.8Résolu/Fermé

Question

bonjour a tous je viens de decouvrir ce forum grace au pc portable de ma femme...(merci cherie.....)m'enfin vous allez comprendre de suite:  pour ouvrir une fenetre c'est comme les suisses(humour noir !!) faut pas etre pressé. j'avais avast qui l'avait pas detecté.j'ai les remplacer par antivir qui m'a afficher ceci:trojan horse TR/drop.agent.QZpuis ce matin il m'affiche:trojan horse TR/Dldr.lsBar.IS.8c'est la guerre contre attaque ou quoi ?!?j'avais avast et zonealarme. aucun probleme depuis un bon moment.je vais essaye de telecharger "hijack..." mais c'est pas gagné...sinon je suis pret a formater je n'ai pas grand chose sauf mes messages et photos quand meme....he bien voila dur dur de retourne sur son pc qui rame tres fort...merci de votre aide...ps: j'adore les suisses.

Real Mona · Answer

Bonjour,Essaie de faire un scan gratuit en ligne http://www.bitdefender.com/scan/licence.php et poste moi le résultat.A+M.

^^Marie^^ · Answer

Bonjour,Essaie de faire ce qui suit :télécharge hijackthis ici:http://www.hijackthis.de/downloads/hijackthis_199.zipDézippe le dans un dossier prévu a cet effet.Par exemple C:\hijackthis < Enregistre le bien dans c : !Lancez le puis:clic sur "do a system scan and save logfile" (cf demo)faire un copier coller du log entier sur le forumDémo : (merci a balltrap34 pour cette réalisation)http://pageperso.aol.fr/balltrap34/demohijack.htmA+

copan · Answer

bon je vais essayer de faire ce que vous me demander....seul chose, soyez patient car j'essayer de faire un clic droit et la fleche tourne encore et encore et encore ......quel risque global de se connecter avec le pc infecter sinon ??

Real Mona · Answer

Re,Tu peux te connecter du moment que tu ne vas pas sur d'autres sites que ceux que nous te recommandons...Et puis tu as ZoneAlarm, donc à priori tu es protégé (en plus d'avast).A touteM.

copan · Answer

bizarre mais j'ai eu une fenetre comme hier auquel j'ai telecharger spyware bomber. il a trouver 53 aware dont lsBar dans sa liste.seulement il me demande de payer 29.90 dollard....vous connaissez se logiciel ?mais ce qui est de plus etonnant, c'est pendant et apres d'ailleur sa recherche et bien je peut utilisez le pc normalement. que dois-je faire d'apres vous. j'ai reinstaller avast....et je peux naviguer normalement...

Real Mona · Answer

Re, il a trouver 53 aware dont lsBar dans sa liste.seulement il me demande de payer 29.90 dollard....Il te demande de payer pour les effacer où les a-t'il effacés quand même ?Ceci dit, il vaut mieux utiliser Spybot et Ad-Aware, qui ont sont gratuits et complémentaires. voir ci dessous.vous connaissez se logiciel ? Non mais comme je disais, utilise Spybot et Ad-Awareque dois-je faire d'apres vousSuivre les conseils ci -dessous pour nettoyer ton ordi!- Télécharge Ad-Aware SE 1.06 http://www.lavasoftusa.com/software/adaware/ Et si tu veux le patch francais: http://download.lavasoft.de.edgesuite.net/public/pllangs.exe une fois installé, tu choisis la langue dans les parametres d'ad-aware. clic sur l'engrenage puis sur interface choisis french et clic sur proceed pour valider + d'infos ici: http://www.tutopat.com/viewtopic.php?t=1191- Télécharge Spybot  http://www.safer-networking.org/fr/index.html - Pour nettoyer ton pc, Clean Up 40: http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm - As-tu fait une défragmentation récemment ? sinon, fais en une. - Tu peux télécharger "starter" qui te donnera, de façon très explicite et détaillée, tous les renseignements sur ce qui est chargé au démarrage, ainsi que le détail des processus : http://www.clubic.com/telecharger-fiche12492-starter.html Ce programme permet de désactiver de façon réversible, le chargement de ce qui est inutile au démarrage (voir avec google, si l'exécutif est nécessaire au départ ou non) Ensuite, quand tu vois qu'il n'y a pas de problème, tu laisses comme ça ou tu effaces définitivement. - Télécharge également jv16 (c'est un nettoyeur de registre) (ancienne version gratuite) http://telechargement.zebulon.fr/201-jv16-powertools.htmltu le lances tu cliques sur outil registre/outil/nettoyage de registre/continuer /démarrer tu le laisses faire c'est un peu long quand il a fini tu sélectionnes les ronds verts par paquet de 20 ou 30 une fois que tu les as sélectionnés, tu cliques sur supprimer en bas à droite et tu continues jusqu'à ce qu'il ne reste plus de ronds verts - Et enfin et surtout, si tu as XP et que tu n'as pas désactivé le parefeu de Windows XP tu fais la chose suivante : clique sur le bouton Démarrer, sur Paramètres, puis double clique sur Connexion Réseau. Sélectionne ta connexion puis clique dessus avec le bouton droit de la souris. Choisis la commande Propriétés. Dans l'onglet Avancé, décoche la case Protéger mon ordinateur et le réseau... Valide par OK.Bon courage,M.Je viens de voir que tu as rajouté un hijackthis, tu es toujours infecté, je l'analyse et je reviens vers toi, en attendant, télécharge spybot, adaware et cleanUp, c'est tout

Real Mona · Answer

Re,Désinstalle SpywareBomber (à l’aide du panneau de configuration (ajout suppression de programmes)Fais analyser ce fichierC:\Program Files\ScreenMates\Felix II\Fr\Felix2.exeSur http://www.virustotal.com/xhtml/virustotal_en.htmlEnsuite, imprime ceci pour ne rien oublier de faire :Méthode à suivre dans l'ordre... ---------------------------------------------------------------------------- ¤J’espère que tu as téléchargé les logiciels que je t’ai dit au post précédent (spybot, adaware et cleanUp), sinon fais le---------------------------------------------------------------------------- Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5) ---------------------------------------------------------------------------- Désactive ta restauration système: Clic droit sur poste de travail puis, propriété, tu cliques sur onglet restauration système tu coches la case « désactiver la restauration » et applique ---------------------------------------------------------------------------- Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/option des dossiers/affichage Coche « afficher les fichiers et dossiers cachés » Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décoche « masquer les extensions dont le type est connu » Puis fais «Ok» pour valider les changements. Et appliquer ! ---------------------------------------------------------------------------- Vide tes fichiers temps et tempory internet file: utilise ceci pour le faire (tu as téléchargé avant)  http://pageperso.aol.fr/balltrap34/CleanUp40.exe ---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dllO4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32
tdll.exeO4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exeO4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\system32\dllhost32.exeO4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe tu la fixes si l’analyse du fichier sur virustotal montre qu’il est viruséO16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_FR_XP.cabO16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab----------------------------------------------------------------------------Recherche et supprime ceci: attention seulement les fichiers (si présents)C:\WINDOWS\system32
tdll.exeC:\WINDOWS\system32\spoolsv32.exeC:\WINDOWS\system32\dllhost32.exeC:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe uniquement si l’analyse sur virustotal a montré qu’il était viruséC:\WINDOWS\etb\pokapoka61.exe le dossier, c’est à dire ce qui est en gras ----------------------------------------------------------------------------¤ Passe Ad-Aware et vire tout ce qu’il trouve ----------------------------------------------------------------------------¤ Passe Spybot et vire tout ce qu’il trouve ----------------------------------------------------------------------------> Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis  A+M.

Real Mona · Answer

Suis contente pour toi, mais j'aimerais quand meme que tu me repostes un hijackthis pour vérifier que tu n'es plus infecté. (parce que entre autre ce n'est pas normal que DLLHOST32 continue de s'afficher)A touteM.

copan · Answer

voila madame comme vous me l'avez demandé.je suis tellement content d'avoir retrouver le pc comme avant que je suis a vos ordres.(heureusement que ma femme ne lis pas ca...)merci encore et encore et encore pour votre disonibilité....Logfile of HijackThis v1.99.1Scan saved at 17:28:54, on 09/10/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeC:\Program Files\Java\j2re1.4.2_06\bin\jusched.exeC:\WINDOWS\system32\LVCOMSX.EXEC:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exeC:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeC:\Program Files\Logitech\Video\LogiTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXEC:\WINDOWS\NCLAUNCH.EXeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exeC:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\cisvc.exeC:\Program Files\Logitech\Video\FxSvr2.exeC:\WINDOWS\System32	cpsvcs.exeC:\WINDOWS\System32\snmp.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\UAService7.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\svchost.exeC:\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cegetel.net/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dllO4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exeO4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exeO4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /runO4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exeO4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exeO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXEO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [NI.UWFX5V_0001_LP] "C:\Documents and Settings\Propriétaire.CHOCOPAN\Bureau\WinFixer2005ScannerInstallFRA.exe"O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXeO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" bootO4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/054d851581b43e83f622/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101499532578O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cabO23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: Application système COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Real Mona · Answer

LollFais analyser ce fichier, qui vient d'apparaitre :C:\Documents and Settings\Propriétaire.CHOCOPAN\Bureau\WinFixer2005ScannerInstallFRA.exsur http://www.virustotal.com/xhtml/virustotal_en.html sachant que winfixer c'est vraiment pas bon !!!Et dis moi, ceci dit, je trouve que ca de louche, le reste a l'air d'aller.A toute,Mona

copan · Answer

--cegetel adslmax  dl: 4864kb/s  up:320kb/s

copan · Answer

nan rien d'alarmant ...tu as bien bossé aujourd'hui et tu peux etre fiere de toi mona...merci encore et encore et encore ......je peux donc conclure the end pour le dossier.tu as un" truc" pour connaitre totue c'est technique la ?parce que celle la c'est la premiere fois que je la vois.comment te remercier ?

Real Mona · Answer

Désolée d'insister, mais peux tu m'envoyer le rapport de virustotal, car winfixer est une vraie m...A tout de suite !Mona

copan · Answer

je l'ai testé par aswcleaner de avast et il est clean.....tout propre...sinon tu le teste comment par virustotal ??

copan · Answer

il est vrai que j'ai adaware le retrouve dans pendant c'est recherche avec istbar ...c'est pas terrible hein ?mais adaware je le fait tous les jours.winfixer je les telecharger dans l'apres midi puis effacer apres quand j'ai vu que c'etait de la m.....(restons poli ,merci...)voila pour tes information sinon explique moi pour tester par virustotal..a toute mona

Real Mona · Answer

Argh, donc ca veut dire que tu n'as pas fait non plus analyser C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe C'est simple, quand tu cliques sur le lien, tout en haut tu vois "select file" une case blanche et un bouton "parcourir", tu cliques sur parcourir, tu sélectionnes un fichier et tu cliques sur "send" ensuite il t'affiche un rapport tu le copies en sélectionnant toutes les lignes tu le mets dans un doc word par exemple et tu lances le scan du 2ème fichier et tu fais la meme chose.A tout de suite,Mona

copan · Answer

be nan je m'explique...(j'ai l'impression de me faire gronder comme un mome qui n'a pas fait ce qu'on lui demandé de faire...lol)pour les deux adresses donneé je ne les voit pas :pour felix, je ne vois pas screenshot dans le programmfilepour winfixer , idem a partir du bureau rien neant.me pardonnerais-tu de se mensonge ? lol.....

Real Mona · Answer

Meuh nan, tu te fais pas gronder, c'est p'tet juste que je veux trop bien faire !Bon ben bonne continuationet fais attention à tes surfs !Mona

copan · Answer

merci mona  et bon courage a ton clavier aussi...pense surtout a te detendre les doigts et a changer le regard de ton ecran pour proteger  tes jolies yeux....et j'aprecie ton sens du relationel pour ce forum....(bon je vais rejoindre ma femme sinon elle va s'inquieter....)bon courage.

Trojan horse TR/Dldr.lsBar.IS.8

19 réponses

Discussions similaires

Newsletters