Trojan clicker.akco + nombreux popup

nicodetoulouse Messages postés 127 Statut Membre -  
 nicodetoulouse -
Bonjour,

J'ai mon xpsp2 legal infecte par plusieurs toyens et rien à faire, après avoir utilise malwarbyt,avg,avast,ccleaner et pleins de softs spécialisés le virus coupe le son et affiche le bureau quand je jou en ligne

je crois que le virus principal est le trojan clicker.akco + nombreux popup

merci de votre aide

nicolas de toulouse

je post egalement le rapport hijackthis je pense que ça sera utile

merci encore

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:40, on 16/07/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Alwil Software\Avast5\avastUI.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Application Updater\ApplicationUpdater.exe
D:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
D:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\Google\Update\GoogleUpdate.exe
D:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe
D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Spyware Terminator\sp_rsser.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe
D:\Documents and Settings\nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
D:\Documents and Settings\nico\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\nico\Mes documents\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*http://fr.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - D:\Program Files\Search Settings\SearchSettings.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast5] "D:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Application Updater - Spigot, Inc. - D:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: avast! Antivirus - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - Unknown owner - D:\Program Files\AVG\AVG9\avgwdsvc.exe (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - D:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - D:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Service Google Update (gupdate1ca046a6f826e06) (gupdate1ca046a6f826e06) - Google Inc. - D:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - D:\Program Files\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - D:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe
O24 - Desktop Component 0: (no name) - file:///D:/DOCUME~1/nico/LOCALS~1/Temp/msoclip1/04/clip_image002.gif

--
End of file - 6763 bytes

5 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonsoir,

    -+-+-+-+-> Bootkit Remover <-+-+-+-+-

    [x] Télécharge Bootkit Remover et décompresse le sur ton bureau.

    [x] Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.

    Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe

    [x] Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]

    [x] Suis les instructions et copie/colle le rapport dans ta prochaine réponse.
    0
    1. nicodetoulouse Messages postés 127 Statut Membre 2
       
      je n'arrive pas a scaner !! je tape 1 et fait entre puis ça coupe je crois que le fichier n'arrive pas complet !!

      peut être le navigateur googlechrome
      0
    2. nicodetoulouse Messages postés 127 Statut Membre 2
       
      ok ça marche
      0
    3. nicodetoulouse Messages postés 127 Statut Membre 2
       
      Bootkit Remover version 1.0.0.1
      (c) 2009 eSage Lab
      www.esagelab.com

      \\.\C: -> \\.\PhysicalDrive1
      MD5: d4b876239615e81ab805b6a9431ee920
      \\.\D: -> \\.\PhysicalDrive0
      MD5: d4b876239615e81ab805b6a9431ee920

      Size Device Name MBR Status
      --------------------------------------------
      153 GB \\.\PhysicalDrive1 Unknown boot code
      153 GB \\.\PhysicalDrive0 Unknown boot code

      Unknown boot code has been found on some of your physical disks.
      To inspect the boot code manually, dump the master boot sector:
      remover.exe dump <device_name> [output_file]
      To disinfect the master boot sector, use the following command:
      remover.exe fix <device_name>
      0
    4. nicodetoulouse Messages postés 127 Statut Membre 2
       
      au secour !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
      0
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Re..

    -+-+-+-+-> Bootkit Remover <-+-+-+-+-

    [x] Relance BTKR_Runbox mais sélectionne cette fois ci l'option n°3 puis [Entrée]

    [x] Confirme en appuyant sur " 1 " puis [Entrée]

    [x] Ton PC redémarrera. Au redémarrage, relance BTKR_Runbox avec l'option n°1 et copie/colle le rapport.
    0
    1. nicodetoulouse Messages postés 127 Statut Membre 2
       
      voila le rapport :


      Bootkit Remover version 1.0.0.1
      (c) 2009 eSage Lab
      www.esagelab.com

      \\.\C: -> \\.\PhysicalDrive1
      MD5: d4b876239615e81ab805b6a9431ee920
      \\.\D: -> \\.\PhysicalDrive0
      MD5: 6def5ffcbcdbdb4082f1015625e597bd

      Size Device Name MBR Status
      --------------------------------------------
      153 GB \\.\PhysicalDrive1 Unknown boot code
      153 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

      Unknown boot code has been found on some of your physical disks.
      To inspect the boot code manually, dump the master boot sector:
      remover.exe dump <device_name> [output_file]
      To disinfect the master boot sector, use the following command:
      remover.exe fix <device_name>

      merci de ton aide
      0
    2. nicodetoulouse Messages postés 127 Statut Membre 2
       
      je vais faire dodo a demain ?! merci pour les lève tot ^^
      0
    3. nicodetoulouse Messages postés 127 Statut Membre 2
       
      moi aussi
      0
    4. nicodetoulouse Messages postés 127 Statut Membre 2
       
      ça merdouille toujours ce, matin
      0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok,

    Ouvre le bloc-note et copie/colle ceci dedans :

    @ECHO OFF
    START remover.exe fix \\.\PhysicalDrive1
    EXIT


    Enregistre le fichier sur ton bureau en le nommant fix.bat ( le .bat est important )

    -> Tu dois avoir remover.exe et fix.bat sur ton bureau.

    Lance fix.bat en double cliquant dessus. Une fois cela fait, relance BTKR_Runbox option n°1 et poste le rapport.
    0
    1. nicodetoulouse Messages postés 127 Statut Membre 2
       
      Bootkit Remover version 1.0.0.1
      (c) 2009 eSage Lab
      www.esagelab.com

      \\.\C: -> \\.\PhysicalDrive1
      MD5: 6def5ffcbcdbdb4082f1015625e597bd
      \\.\D: -> \\.\PhysicalDrive0
      MD5: 6def5ffcbcdbdb4082f1015625e597bd

      Size Device Name MBR Status
      --------------------------------------------
      153 GB \\.\PhysicalDrive1 OK (DOS/Win32 Boot code found)
      153 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
      merci pour ton aide
      0
    2. nicodetoulouse Messages postés 127 Statut Membre 2
       
      windows ne trouve plus le.1bat dans une fenetre comme bootkit
      c normal ?
      0
    3. nicodetoulouse Messages postés 127 Statut Membre 2
       
      le virus ou ? me fait aussi un message d'erreure demarrage invalid_kernel_handle avec ecran bleu
      0
  4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, tu peux supprimer BTKR_Runbox, Remover.exe et fix.bat.

    Puis fais ceci :

    -+-+-+-+-> AD-Remover <-+-+-+-+-

    [x] Télécharge AD-Remover ( de C_XX ).

    [x] Lance AD-Remover puis choisis l'option " Nettoyer ".

    Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

    [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

    [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
    0
    1. nicodetoulouse Messages postés 127 Statut Membre 2
       
      ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par C_XX le 23/06/10 à 19:20
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

      D:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:06:14 le 17/07/2010, Mode normal

      Microsoft Windows XP Professionnel Service Pack 2 (X86)
      nico@NICO-B9BF2AACED ( )

      ============== ACTION(S) ==============

      Service: "Application Updater" Stoppé et supprimé

      0,Fichier supprimé: D:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com
      0,Fichier supprimé: D:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
      0,Dossier supprimé: D:\Program Files\Application Updater
      0,Dossier supprimé: D:\Documents and Settings\nico\Local Settings\Application Data\Conduit
      0,Dossier supprimé: D:\Program Files\Conduit
      0,Dossier supprimé: D:\Documents and Settings\nico\Application Data\Dealio
      0,Dossier supprimé: D:\Program Files\Dealio Toolbar
      0,Dossier supprimé: D:\Documents and Settings\nico\Application Data\Search Settings
      0,Dossier supprimé: D:\Program Files\Search Settings
      3,Fichier supprimé: D:\WINDOWS\Installer\51ea8a.msi
      3,Fichier supprimé: D:\WINDOWS\Installer\51ea91.msi

      (!) -- Fichiers temporaires supprimés.


      1,Clé supprimée: HKLM\Software\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
      1,Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
      1,Clé supprimée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
      1,Clé supprimée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
      0,Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO
      0,Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO.1
      0,Clé supprimée: HKLM\Software\Application Updater
      0,Clé supprimée: HKLM\Software\Conduit
      0,Clé supprimée: HKLM\Software\Dealio
      0,Clé supprimée: HKLM\Software\Search Settings
      0,Clé supprimée: HKCU\Software\Conduit
      0,Clé supprimée: HKCU\Software\Dealio
      0,Clé supprimée: HKCU\Software\Search Settings
      0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
      3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
      3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
      0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{C878CD69-85DB-426B-81A3-E71175AAEB91}

      0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
      0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}


      ============== SCAN ADDITIONNEL ==============

      ** Mozilla Firefox Version [3.6.6 (fr)] **

      -- D:\Documents and Settings\nico\Application Data\Mozilla\FireFox\Profiles\9y6o6g76.default\Prefs.js --
      browser.startup.homepage_override.mstone, rv:1.9.2.6

      ========================================

      ** Internet Explorer Version [6.0.2900.2180] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: D:\WINDOWS\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      Use Custom Search URL: 1
      Use Search Asst: on

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Enable Browser Extensions: yes
      Local Page: D:\WINDOWS\system32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      D:\Program Files\Ad-Remover\Quarantine: 106 Fichier(s)
      D:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

      D:\Ad-Report-CLEAN[1].txt - 17/07/2010 (955 Octet(s))

      Fin à: 12:10:38, 17/07/2010

      ============== E.O.F ==============
      0
    2. nicodetoulouse Messages postés 127 Statut Membre 2
       
      avast est desactivé ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    Comment se porte le PC?

    On continue :

    -+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-

    [x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

    [x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

    [x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

    [x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

    [x] Sélectionne tout tes disques locaux et amovibles

    [x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

    [x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

    [x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

    [x] Tu peux ensuite vider la quarantaine de MBAM.

    [x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

    [x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
    0
    1. nicodetoulouse Messages postés 127 Statut Membre 2
       
      merci, malwarebyt à l'air d'en trouver un paquet ^^
      je fini le scan et je le post
      0
    2. nicodetoulouse
       
      pqs possible de post le scan mais avira a trouvé trojen tr/trash.gen +tr proxy.host2769408

      voila !

      merci encore à ce soir 21h
      nicodetoulouse
      0