Infecté par un Trojan - Rapport Hijackthis
Arno
-
Arno -
Arno -
Bonjour,
Mon AVG, version 9.0.851, a détecté plusieurs infections causées par un trojan, dont voici le nom de l'infection: '' Trojan horse FakeAV.CMU''. Je n'arrive pas à supprimer la totalité des infections car AVG m'indique ''Object is inaccessible.''.
J'ai utilisé le logiciel CCleaner, puis fait un log Hijack que voici:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:47, on 30.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\Razer\Diamondback 3G\razertra.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Phase28Panel] "C:\Program Files\MUSONIK\TS22 PCI ControlPanel\Protecmixer.exe"
O4 - HKCU\..\Run: [5DR8ZAD8GX] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tv1.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
End of file - 7589 bytes
J'utilise Firefox mais je dispose aussi d'IE.
J'ai cherché sur google des infos sur l'infection '' Trojan horse FakeAV.CMU'' mais je n'ai rien trouvé d'utile alors je suis un peu perdu...
C'est pourquoi je demande votre aide ici, si vous le voulez bien.
Merci d'avance
Arnaud
P.S: Je n'ai sinon rien remarqué d'étrange sur mon PC sinon que je rame un peu plus que d'habitude...
A voir également:
- Infecté par un Trojan - Rapport Hijackthis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Plan d'un rapport de stage - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Thème rapport de stage comptabilité - Forum Word
- Rapport de crash windows - Guide
4 réponses
Bonjour,
O4 - HKCU\..\Run: [5DR8ZAD8GX] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tv1.exe
-> Il doit tilter sur ça.
Ton PC doit déjà être infecté de toute manière, mais hijackthis ne montre pas grand chose, on va faire un diagnostic + complet.
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
O4 - HKCU\..\Run: [5DR8ZAD8GX] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tv1.exe
-> Il doit tilter sur ça.
Ton PC doit déjà être infecté de toute manière, mais hijackthis ne montre pas grand chose, on va faire un diagnostic + complet.
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Bonjour,
je ne connaissais pas ce logiciel, mais au vu du log créé, j'ai trouvé qu'il y avait pas mal d'informations privées, autant j'ai préféré te l'envoyer en messsage privé, si tu n'y vois pas d'inconvénient.
Merci d'avance.
je ne connaissais pas ce logiciel, mais au vu du log créé, j'ai trouvé qu'il y avait pas mal d'informations privées, autant j'ai préféré te l'envoyer en messsage privé, si tu n'y vois pas d'inconvénient.
Merci d'avance.
Re-bonjour,
Tu peux sans problèmes poster le rapport ici, il ne contient aucune informations personnelles susceptibles de t'identifier. Les seules informations "personnelles" sont ton nom d'utilisateur ainsi que les programmes que tu as sur ton PC.
De plus, 95% des personnes qui viennent visiter cette partie du forum sont soit des personnes qui, comme toi, ont un problème avec leur PC et les helpers comme moi.
Sinon, il y a quelques restes d'infections sur ton PC qu'on va supprimer :
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[HKCU\Software\TG0PTF86JH]
[HKCU\Software\XML]
O51 - MPSK:{3357ce3f-06c2-11df-b55b-806d6172696f}\Shell\AutoRun\command. (.Pas de propriétaire - Blizzard Installer.) -- D:\Installer.exe
O83 - Search Svchost Services: SSHNAS (SSHNAS) . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\sshnas21.dll [0]
O4 - HKCU\..\Run: [5DR8ZAD8GX] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tv1.exe (.not file.)
O4 - HKLM\..\Policies\Explorer: [HonorAutoRunSetting] Data=1
O4 - HKUS\S-1-5-21-1229272821-2139871995-839522115-500\..\Run: [5DR8ZAD8GX] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tv1.exe (.not file.)
[HKCU\Software\5DR8ZAD8GX]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
Tu peux sans problèmes poster le rapport ici, il ne contient aucune informations personnelles susceptibles de t'identifier. Les seules informations "personnelles" sont ton nom d'utilisateur ainsi que les programmes que tu as sur ton PC.
De plus, 95% des personnes qui viennent visiter cette partie du forum sont soit des personnes qui, comme toi, ont un problème avec leur PC et les helpers comme moi.
Sinon, il y a quelques restes d'infections sur ton PC qu'on va supprimer :
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[HKCU\Software\TG0PTF86JH]
[HKCU\Software\XML]
O51 - MPSK:{3357ce3f-06c2-11df-b55b-806d6172696f}\Shell\AutoRun\command. (.Pas de propriétaire - Blizzard Installer.) -- D:\Installer.exe
O83 - Search Svchost Services: SSHNAS (SSHNAS) . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\sshnas21.dll [0]
O4 - HKCU\..\Run: [5DR8ZAD8GX] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tv1.exe (.not file.)
O4 - HKLM\..\Policies\Explorer: [HonorAutoRunSetting] Data=1
O4 - HKUS\S-1-5-21-1229272821-2139871995-839522115-500\..\Run: [5DR8ZAD8GX] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Tv1.exe (.not file.)
[HKCU\Software\5DR8ZAD8GX]
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
re-bonjour,
J'ai effectué la manoeuvre que tu m'as expliqué, mais quand j'ai redémarré mon ordinateur, il y avait toujours détection de trojans par AVG.
Je te donne ici le lien de mes captures d'écrans.
http://img837.imageshack.us/img837/2001/multiplethreatdetection.jpg
http://img718.imageshack.us/img718/4177/objectisinaccessiblerec.jpg
La première je n'ai rien touché, et la seconde j'ai effectué l'opération ''Remove selected infections'', et il y a un des trojans qui est toujours inaccessible.
Merci d'avance de consacrer du temps pour mon problème,
Arnaud.
J'ai effectué la manoeuvre que tu m'as expliqué, mais quand j'ai redémarré mon ordinateur, il y avait toujours détection de trojans par AVG.
Je te donne ici le lien de mes captures d'écrans.
http://img837.imageshack.us/img837/2001/multiplethreatdetection.jpg
http://img718.imageshack.us/img718/4177/objectisinaccessiblerec.jpg
La première je n'ai rien touché, et la seconde j'ai effectué l'opération ''Remove selected infections'', et il y a un des trojans qui est toujours inaccessible.
Merci d'avance de consacrer du temps pour mon problème,
Arnaud.
