Sujet Précédent Sujet Suivant

Infecté par virus trojan downloader win32

Fermé
rroule - 4 mars 2006 à 20:34
 ilmas - 6 déc. 2006 à 23:28
Bonjour a tous,

je n'arrive pas à chasser un virus trojan donwloader win 32 agent qui se cache dans le system volume information. J'ai kaspersky personnal qui arrive à l'enlever mais ce virus refait apparition aussitot. J'ai essayé de desactiver la restauration du système / analyser mon ordinateur / puis remmetre la restauration du système : sans succès. En fait, je ne suis tranquille que lorsque j'enleve la fonction restauration du système. Voila, je suis à cours de solution. J'ai vu dans d'autres posts que hijack this pouvait lire dans les entrailles de mon PC, mais pour moi ceci est du chinois :
Logfile of HijackThis v1.99.1
Scan saved at 20:21:43, on 04/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\julien\LOCALS~1\Temp\Rar$EX00.860\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E4EC3843-6521-DF0F-AC5B-5C1E7DDB5370} - defect08.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [AppMasterCenter] WTFCTF.exe
O4 - HKLM\..\Run: [Brong32] borlandg.exe
O4 - HKLM\..\Run: [dmjsg.exe] C:\WINDOWS\system32\dmjsg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [SysEntry] iehelper.exe
O4 - HKCU\..\Run: [vxdman] hyandex.exe
O4 - HKCU\..\Run: [forces_elite] ___.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120169430378
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD53995-675D-4ABD-BD8E-53EA1ED5A28D}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{399690B9-7919-4084-A537-650FAF96B25F}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{42AA7213-FE00-4ABB-9815-043CB27E0A5B}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{69741910-BBF4-4687-B012-8DA3E25F047F}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD0C6D90-F9AF-43B2-8BEC-EA01F5D5DBD3}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{F484BA09-6E5B-4B5D-9D7D-E7B0CD86DD08}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF21F989-B128-4F38-AF53-D39AC206EEAE}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\..\{2DD53995-675D-4ABD-BD8E-53EA1ED5A28D}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CS2\Services\Tcpip\..\{2DD53995-675D-4ABD-BD8E-53EA1ED5A28D}: NameServer = 85.255.114.56,85.255.112.136
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Quelqu'un peut-il m'aider? Merci beaucoup par avance.
A voir également:

4 réponses

Réponse 1 / 4
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
4 mars 2006 à 21:15
salut


fixe ces lignes , ca renvoie en ukraine !!




O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD53995-675D-4ABD-BD8E-53EA1ED5A28D}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{399690B9-7919-4084-A537-650FAF96B25F}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{42AA7213-FE00-4ABB-9815-043CB27E0A5B}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{69741910-BBF4-4687-B012-8DA3E25F047F}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD0C6D90-F9AF-43B2-8BEC-EA01F5D5DBD3}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{F484BA09-6E5B-4B5D-9D7D-E7B0CD86DD08}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF21F989-B128-4F38-AF53-D39AC206EEAE}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\..\{2DD53995-675D-4ABD-BD8E-53EA1ED5A28D}: NameServer = 85.255.114.56,85.255.112.136
O17 - HKLM\System\CS2\Services\Tcpip\..\{2DD53995-675D-4ABD-BD8E-53EA1ED5A28D}: NameServer = 85.255.114.56,85.255.112.136


O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120169430378
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

fixe et supprime les fichiers en gras (si present )

O4 - HKLM\..\Run: [AppMasterCenter] WTFCTF.exe
O4 - HKLM\..\Run: [Brong32] borlandg.exe

O4 - HKCU\..\Run: [SysEntry] iehelper.exe
O4 - HKCU\..\Run: [vxdman] hyandex.exe
O4 - HKCU\..\Run: [forces_elite] ___.exe

R3 - URLSearchHook: (no name) - {E4EC3843-6521-DF0F-AC5B-5C1E7DDB5370} - defect08.dll (file missing)
0
rroule
5 mars 2006 à 18:46
Bonjour ben et merci beaucoup de ton aide. En fait, j'ai oublié de le preciser mais je suis une buze en informatique ! Fixer avec Hijack ca je m'en suis sortis mais comment fait-on pour supprimer les fichiers en gras ?
0
Réponse 2 / 4
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
5 mars 2006 à 18:58
demarrer /rechercher et tu colle le nom de l'exe


ensuite tu suis l'arborescence windows

avant tu fais ca

Affiche les dossiers système et fichiers cachés
Ouvrir le poste de travail
- Outils --> Options des dossiers
- Affichage --> zone Paramètres avancés
- Cocher : Afficher le contenu des dossiers système
- Fichiers et dossiers cachés
- Cocher : Afficher les fichiers et dossiers cachés
- Décocher : Masquer les extensions des fichiers dont le type est connu
- Décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
répondre Oui au message
Cliquer sur "Appliquer à tous les dossiers"
Cliquer sur OK


une fois que tu as fini , tu remet "config par defaut "
0
Réponse 3 / 4
rroule
6 mars 2006 à 16:37
Bonjour ben, merci encore pour ta précieuse aide. J'ai un peu l'impression d'abuser mais il y a encore une chose qui me laisse perplexe. J'ai fixé toute les lignes indiquées, y compris celles-ci :

O4 - HKLM\..\Run: [AppMasterCenter] WTFCTF.exe
O4 - HKLM\..\Run: [Brong32] borlandg.exe

O4 - HKCU\..\Run: [SysEntry] iehelper.exe
O4 - HKCU\..\Run: [vxdman] hyandex.exe
O4 - HKCU\..\Run: [forces_elite] ___.exe

R3 - URLSearchHook: (no name) - {E4EC3843-6521-DF0F-AC5B-5C1E7DDB5370} - defect08.dll (file missing)

mais la fonction "rechercher" de windows ne trouve pas les fichiers en gras. Même dans une recherche approfondie (j'ai utilisé toutes les options de recherches et suivi la procedure pour Afficher les dossiers système et fichiers cachés). Question naïve : le fait de fixer n'a-t-il pas supprimer ces fichiers ?
0
Réponse 4 / 4
ilmas
6 déc. 2006 à 23:28
Essai d'installer Panda antivirus 2006
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses