aide svp trojan Fermé

Question

Salut les gens! j'ai ete attaque par un trojan il me laisse pas changer mon image du bureau et j'ai essaye de reparer mon ordi en faisant quelques premiers pas comme indiques dans certains messages de ce forum, mais la je suis totalement bloque avec ce log auquel je ne comprend decidement rien! si quelqu'un de tres gentil voulait bien m'aider tres vite en me disant quoi faire, je lui en serait fortement reconnaissant. Logfile of HijackThis v1.99.1Scan saved at 01:11:02, on 29/01/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\eHome\ehRecvr.exeC:\WINDOWS\eHome\ehSched.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\dllhost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\ehome\ehtray.exeC:\Program Files\ATI Technologies\ATI.ACE\cli.exeC:\WINDOWS\eHome\ehmsas.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\Fichiers communs\Real\Update_OB\realsched.exeC:\Program Files\DAEMON Tools\daemon.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\Program Files\Shareaza\Shareaza.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktop.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\ATI Technologies\ATI.ACE\cli.exeC:\Program Files\ATI Technologies\ATI.ACE\cli.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopOE.exeC:\WINDOWS\system32\shell386.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Administrateur\Bureau\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.207.212.223:6588R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: winapi32.MyBHO - {B439D5EB-0A61-4ED9-8C8F-EC4148BB23F7} - C:\WINDOWS\system32\winapi32.dllO4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exeO4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -DelayO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimizeO4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNCO4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNCO4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMENameO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033O4 - HKLM\..\Run: [Win32.Virus.Smart32] C:\WINDOWS\system32\adsmart.exeO4 - HKLM\..\Run: [Win32.Exploit.A] C:\WINDOWS\system32\exa32.exeO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -trayO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startupO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [BPSANTISPY] C:\Program Files\BulletProofSoft.com\SpywareRemover\Spyware.exe /STARTUPO4 - Startup: HolaPhone.lnk = C:\Archivos de programa\HolaPhone\HolaPhone\holaphone2005.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO14 - IERESET.INF: START_PAGE_URL=www.generation-nt.comO17 - HKLM\System\CCS\Services\Tcpip\..\{DBFFE59E-71B4-40A7-B235-1326B725D96B}: NameServer = 212.217.0.3 212.217.1.14O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

aranjuez31 · Answer

bsr-----tu es au maroc ?---------fixe cette ligneR3 - Default URLSearchHook is missing --------avant de contionuertelech, instal, scan & COLLE rapport deewido (dowload) http://www.ewido.net/fr/download/

toto1988 · Answer

Bonjour, ton virus vient peut être de la: C:\Program Files\Shareaza\Shareaza.exe Le p2p est une source de virus !Je te conseil de scanner ton pc avec un antivus en ligne.Exmple: panda,bitdefender ...ectTon antivirus est t'il à jour ?Si non,fait le !@+

aranjuez31 · Answer

rec'est que s'il est un log à jeter , c'est bien celui-là :  Shareaza

crashoverider · Answer

voila le rapport------------------------------------------------------------------------------------------------------------ ewido anti-malware - Rapport de scan--------------------------------------------------------- + Créé le:		01:53:43, 29/01/2006 + Somme de contrôle:	DF32394 + Résultats du scan:	C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@paypopup[1].txt -> Spyware.Cookie.Paypopup : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@wreport.weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder	C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder	C:\WINDOWS\azesearch.bmp -> Adware.Azesearch : Nettoyer et sauvegarder	C:\WINDOWS\shginas.dll -> Spyware.MoneyGainer : Nettoyer et sauvegarder	C:\WINDOWS\system32\mswinb32.dll -> Adware.CashDeluxe : Nettoyer et sauvegarder::Fin du rapport

aranjuez31 · Answer

je lirai le rapport ewido demain matin pour te donner action à mener

aranjuez31 · Answer

pitiéje réponds sur ccm depuis ce matin 10 hfaut que je récupérede tte façon ton blem ne sera pas résolu en 5 mn, ya de la recherche à faire en parallélle, c long

crashoverider · Answer

moi aussi je cherche la solution depuis 11h du mat et personne n'as pu m aider est ce que quelqu'un peut m'aider svp

aranjuez31 · Answer

hum ouaip , mais moi j'essaie de satisfaire une dizaine de personnes à la fois---------essaie ce ci pour voirTélécharge ceci: (merci a S!RI pour ce petit programme). http://siri.urz.free.fr/Fix/SmitfraudFix.zip Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport Copie/colle le sur le poste stp. ---------------------------------------------------------------------------- Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5). ---------------------------------------------------------------------------- Relance le programme Smitfraud, Cette fois choisit l’option 2, répond oui a tous ; Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

crashoverider · Answer

merci bbbbbbje vait redemarer en mode sans ech

crashoverider · Answer

SmitFraudFix v2.15Rapport fait à  2:20:53,06 le 29/01/2006Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

aranjuez31 · Answer

quel est le nom de ton FAI   ???- j ai un doute sur la thread 14

crashoverider · Answer

moi je croit que c'est dans se fichier C:\WINDOWS\system32\adsmart.exe mais j'arrive pas a le suprrimer meme en le ajoutant dans la quarantaine

aranjuez31 · Answer

nom de ton FAI=provider=fournisseur d'accés à Internet ?

crashoverider · Answer

mon fournisseur c'est   menara

crashoverider · Answer

est ce que cette ligne est normaleO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

aranjuez31 · Answer

fixe cette autre ligneO4 - HKLM\..\Run: [Win32.Exploit.A] C:\WINDOWS\system32\exa32.exe -----------fais "rechercher" et supprime : exa32.exe -----------il faudra peut-être aller en sans échec et ouvrir dossiers cachés pour réussir cette manip

crashoverider · Answer

chaque foit un message me ditwarning:possible virus infection of adsmart.exec:\windows\system32\adsmart.exehkey_local_machine\software\microsoft\windows\currentversion\run\win32.virus.smart3

aranjuez31 · Answer

okfaut bosser en sans échec et ouvrir dossiers cachés tu sais faire ça ?

crashoverider · Answer

je vais esseyer de le suprimer en mode sans echec

crashoverider · Answer

bien sur je sait

aranjuez31 · Answer

pour tout ce qui est dans  "system32" il faut ouvrir les dossiers cachés

crashoverider · Answer

impossible de suprimer le fichier

aranjuez31 · Answer

pour bosser en sans échec p/r à system32---------------1.redemarre en mode sans echec (redemarage + tapote sans arret sur F8 desque l'ordi s'allume) 2. desactive ta restauration (pour win xp ) comme ceci : clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique 3. affiche les fichier cacher comme ceci : clicker sur demarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Puis fais «Ok» pour valider les changements. Decocher masquer les extentions dont le type est connues 4.ensuite va dans demarrer/rechercher et tape: adsmart.exe  exa32.exe msgrapp.dll"suprime les 5. scanner avec Spybot+ad-aware+ewidovider sauvegardes et quarantaines6.vider la poubelle7. redémarrer en mode normal8 - faire les opérations des paragraphes 2 & 3 en sens inverse9. remettre un nouvel hijack

aranjuez31 · Answer

sorrymais je dois vraiment aller au dodoréveil à 5h

aranjuez31 · Answer

il faudra utiliser des log tueurs mais trop tard pour moidésolé

crashoverider · Answer

est ce que quelqu'un peut m'aider pour deinfecter se virus

Aide svp trojan

26 réponses

Discussions similaires