Trojan qui disparait jamais

juju -  
aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur -
j'arrive pas a me debarraser de ce trojan il réapparait a chaque fois dans ce dossier et jamais sous le meme fichier exe ou parfois dans plusieurs a la fois :

Infected Object Name - Virus Name
C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP7\A0005762.exe Infected: Trojan.Win32.Small.fb

12 réponses

  1. ben13010 Messages postés 3369 Statut Contributeur 387
     
    salut

    c pas grave
    il est dans System Volume Information\_restore

    donc il est pas actif

    desactive ta restauration systeme ( tu coche desactiver la restau systeme )
    tu clik sur ok

    tu attend 1 ou 2 minutes que le processus s'effectue
    puis tu la decoche
    et ok encore une fois

    le trojan aura disparu
    0
    1. juju
       
      merci pour le truc mais pense tu que mon ordi est sain? :

      Logfile of HijackThis v1.99.1
      Scan saved at 01:47:14, on 18/01/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
      C:\HP\KBD\KBD.EXE
      C:\windows\system\hpsysdrv.exe
      C:\WINDOWS\System32\hphmon05.exe
      C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\WINDOWS\system32\CTsvcCDA.EXE
      C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
      C:\Program Files\ewido anti-malware\ewidoctrl.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\pchbutton.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O3 - Toolbar: (no name) - {8F833B67-A432-342A-B214-4EB0C8757E66} - (no file)
      O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
      O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
      O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\pchbutton.exe
      O4 - HKCU\..\Run: [Spyware-Cop] "C:\PROGRA~1\SPYWAR~1\Spyware-Cop.exe" /s
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
      O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
      O23 - Service: Aluria Spyware Eliminator Service (ASEService) - Unknown owner - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
      O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bsr
    ----
    pour ton entrée en matiére
    http://www.technicland.com/malpolitus.swf
    --------
    pour ton log
    fixe ceci
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

    O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    --------
    à ta plce je virerai ""AOL Spyware Protection Service """ peu efficace et porteur d'un spyware
    ---------
    il te faudrait charger ces utilitaires qui ont fait leurs preuves
    Ad-Aware (gratuit) :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html

    Le patch en Français pour Ad-Aware (gratuit) :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
    Spybot (gratuit) :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html
    a-squared
    http://www.emsisoft.net/fr/software/download/
    ewido (dowload)
    http://www.ewido.net/fr/download/
    spycatcher express free
    http://www.tenebril.com/downloads/
    regcleaner ( nettoyeur de registre)
    http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
    - et cleanup40 (nettoyeur de cookies+temps+tempos+prefetch+historique+etc..)
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
    -------
    scan online et colle rapport de
    http://www.bitdefender.fr/bd/site/search.php#
    ------
    remets un hijac derriere
    ----
    à +

    0
    1. juju
       
      C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP1\A0000003.exe
      bonjour et désolé pour mon manque de savoir vivre, hier un peu fatigué, sinon voila j'ai fais l'analyse bitdefender et il me trouve encore ce satané trojan qui revient dans restore a chaque fois ke je réactive la restauration systeme

      Infecté par: Trojan.Downloader.FFZ

      C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP1\A0000003.exe


      Echec de la désinfection

      C:\System Volume Information\_restore{25971772-2766-4CD9-8BFA-EE0C679F980B}\RP1\A0000003.exe


      Supprimé

      ____________________________________________________
      0
  3. jpdeclermont Messages postés 1792 Statut Membre 382
     
    bonjour,

    pour tes :
    C:\System Volume Information\_restore
    il s'agit d'un point de restauration windows infecté ... sans danger tant que tu ne restaures pas le système

    pour les supprimer fais ceci :

    Désactive la restauration système
    Démarrer --> clic droit sur Poste de travail --> Propriétés
    Onglet Restauration système --> coche Désactiver la restauration système
    clique sur Appliquer, puis oui

    redémmare l'ordi

    Ré-active la restauration système
    Démarrer --> clic droit sur Poste de travail --> Propriétés
    Onglet Restauration système --> Décoche Désactiver la restauration système
    clique sur Appliquer

    tu ne devrais plus avoir de pb avec ça

    -------------------------------
    ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
    0
    1. juju
       
      bonjour, tu vois j'ai deja fais pleins de fois ce ke tu me dis mais a chaque fois ke la restauration est réactivée le virus revient
      0
  4. jpdeclermont Messages postés 1792 Statut Membre 382
     
    re-

    bien on va procéder autrement :))

    apparemment, vu le nombre scans que tu as fait, le reste du pc est propre ....
    donc on va faire ce ci

    1)lance la restauration système, clique sur créer un point de restauration ... valide etc...

    2)lorsque ton nouveau point de restauration est crée fais ceci :

    Démarrer -> tous les programmes -> accessoires -> outils système -> nettoyage de disque -> il va analyser le disque puis tu arrives sur la fenêtre "nettoyage de disque" --> clique sur l'onglet "autres options" puis dans la zone restauration système clique sur nettoyer
    valide par oui

    ça va supprimer tous les points de restauration sauf le dernier que tu viens de créer en 1)

    -------------------------------
    ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
    0
    1. juju
       
      apparemment il a disparut de restore par contre avec ewido je trouve souvent ce resultat c koi?:

      ---------------------------------------------------------
      ewido anti-malware - Rapport de scan
      ---------------------------------------------------------

      + Créé le: 14:04:54, 18/01/2006
      + Somme de contrôle: 481C198D

      + Résultats du scan:

      [1664] VM_008A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [1848] VM_009D0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [1176] VM_00870000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [1188] VM_00850000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [1384] VM_003B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [1924] VM_003F0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [2072] VM_008B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [2100] VM_00880000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [2128] VM_003A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [2156] VM_003C0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [2244] VM_00920000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [2308] VM_003E0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      [2448] VM_00870000 -> Downloader.Agent.uj : Erreur durant le nettoyage
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    hello ju

    va bien, jp ?

    salut

    telecharge ceci
    http://cjoint.com/?mlsdUY4sVZ

    copie/colle le rapport

    0
    1. jpdeclermont Messages postés 1792 Statut Membre 382
       
      re-

      'lut aranjuez, ça va ?
      ici temps tristounet (gris, vent du sud) beuurk !!
      on est mieux devant le clavier

      -------------------------------
      ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
      0
      1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354 > jpdeclermont Messages postés 1792 Statut Membre
         
        guére mieux à toulouse
        il bruine
        moi qui voulais faire une trentaine de bornes à vélo, C rapé
        0
      2. jpdeclermont Messages postés 1792 Statut Membre 382 > jpdeclermont Messages postés 1792 Statut Membre
         
        re-

        ouais je vais rester bien au chaud :)) sauf si j'ai un pote qui crie au secours .... (y en a 1 qui a des soucis avec sa freebox en ce moment)

        ---------------------------------
        ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
        0
  7. jpdeclermont Messages postés 1792 Statut Membre 382
     
    re-

    ben ça serait une cochonnerie ...

    dans le hijack on voit plus rien ....
    essaie avec ce que t'a donné aranjuez

    ------------------------------
    ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
    0
  8. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    aie le lien est mort
    et je ne retrouve plus le progr dans mon ordi
    quel b......
    0
    1. jpdeclermont Messages postés 1792 Statut Membre 382
       
      :))
      c'était quoi ? le Hcsrch ?

      -------------------------------
      ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
      0
      1. juju > jpdeclermont Messages postés 1792 Statut Membre
         
        oui le lien est mort et ewido n'arrive pas a eliminer ce truc qui revient sans arret

        ewido anti-malware - Rapport de scan
        ---------------------------------------------------------

        + Créé le: 15:36:25, 18/01/2006
        + Somme de contrôle: D0C5D5E6

        + Résultats du scan:

        [1664] VM_008A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1820] VM_009D0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1676] VM_00870000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1672] VM_00850000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1932] VM_003B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [124] VM_003F0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1056] VM_008B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1016] VM_00880000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [2012] VM_003A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1104] VM_003C0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1200] VM_00920000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [1248] VM_003E0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
        [4028] VM_00FD0000 -> Downloader.Agent.uj : Erreur durant le nettoyage


        ::Fin du rapport
        0
      2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354 > jpdeclermont Messages postés 1792 Statut Membre
         
        à jp

        Hcsrch est un bouton contenu dans prog que je n'arrive plus à retrouver sur ma bécane





        --
        "Accroche ta charrue à une étoile et ton sillon sera droit" (proverbe berbére)
        0
  9. jpdeclermont Messages postés 1792 Statut Membre 382
     
    re-

    attends je cherche une soluce

    -------------------------------
    ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
    0
  10. jpdeclermont Messages postés 1792 Statut Membre 382
     
    re-

    as-tu essayé Ewido après avoir lancé en mode sans echec ?
    des fois que ....

    -------------------------------
    ... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
    0
  11. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re

    essayons ceci

    Telecharge ceci:
    http://downloads.subratam.org/Fixwareout.exe
    Installe le et suis la procédure,
    puis refais un scan avec ewido en mode sans échec;
    0
    1. juju
       
      j'ai fais la procedure mais apres un scan de ewido il trouve toujours la meme saleté et a2 lui trouve rien
      0
  12. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bon
    essayons ceci
    Télécharge ceci: (merci a S!RI pour ce petit programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    0