Win32:small-ek et win32:agent-Iu entre autre
Résolu
Brouzzouff
Messages postés
2
Statut
Membre
-
d0ne Messages postés 1019 Statut Membre -
d0ne Messages postés 1019 Statut Membre -
Bonjour
J'ai eu récemment des problèmes de virus et spyware. J'utilise Avast couplé avec le parefeu Windows uniquement, tout ça tournant sous Windows Xp Pro SP2 (avant j'avais Norton Internet Security 2002... j'aurais p'tet pas du changer tout compte fait...)
Après plusieurs scans de Avast il me semblait avoir réussi à éliminer les chevaux de Troie qui revenaient sur mon PC (Win32:Small-Ek[Trj], Win32:Agent-IU[Trj], Win32:Adan-078[Adw] et Win32:Adan-094[Adw]). En fait ces saletés semblent rester dans la partie "system restore" d'XP. J'ai donc hier soir désactivé la fonction restauration systeme puis l'ai réactivé afin de purger tous les fichiers de restauration système (j'ai eu le sablier pendant un petit moment... c'est la procédure que j'ai trouvée sur le net pour supprimer les fichiers de restauration...)
J'ai évidemment déjà téléchargé et installé plusieurs antispyware (Arovax que je n'ai pas laissé sur mon PC, mais j'ai actuellement Spybot, Ad-aware et Windows Defender Beta2... j'ai encore fait tourner tout ça hier soir et Avast m'a éliminé deux fichiers vérolés (pppcmg.exe et sphlp.exe dans le répertoire windows\system32). Par contre je ne détecte plus de spyware (jsuqu'à quand... ce soir peut être ?)
Comment se fait il que je n'arrive pas à me débarasser de ces saletés qui reviennent ? Les différents spyware ainsi qu'Avast me retrouvent toujours quelque chose (et souvent les même spyware ou chevaux de troie). Je n'ai pas refait de scan spyware après avoir désactivé/réactivé la restauration systeme (en fait j'ai fait cette manip pendant que Windows Defender tournait)
Le problème que j'ai se voit dans Internet Explorer. Il démarre sans problème sur www.google.fr, ... puis je fais ma recherche, et si je clique gauche sur un lien, ou si je clic droit-> ouvrir dans une nouvelle fenêtre sur un lien, j'ai un redirect qui arrive vers une page à la c**. En bas à gauche de la fenêtre j'ai d'abord l'URL du site sur lequel je veux aller, mais rapidement cette URL est remplacée par un nouvelle qui commence par "http\\: 85.255.117.78" et ça m'envoie ensuite sur une page soit de pub, de cul, de m***e en général...
Donc je suppose qu'il reste quelque chose sur mon PC... Comme je viens juste de formatter et réinstaller (raison pour laquelle j'ai abandonné NIS 2002 pour Avast) je préfèrerai ne pas recommencer... Mais ça me gonfle. Je ne vais tout de même pas installer 200 antispyware sur mon PC, ni faire 2000 scans online de mon PC. Faut il désactiver de nouveau la restauration système, redémarrer en mode sans échec avant de scanner ??? Y a t il un moyen de retrouver l'origine avec l'URL 85.255.117.78 ? J'ai beaucoup entendu parler de HijackThis... encore un de plus sur mon PC (je ne suis plus à ça prêt)
Comment devrais je procéder pour éliminer une bonne fois pour toute cette saleté ? Où donc s'est il fourré ce truc ? Dans la base de registre ? Dans les fichiers de config de windows ou internet Explorer ?
Merci d'avance pour les infos que vous pourrez me fournir... sinon je vais me résigner à reformatter et remettre NIS 2002 (il bouffe des ressources le bougre mais il m'a semblé mieux bloquer les trucs que Avast couplé au parefeu Win...)
A bientôt
Brouzzouff
J'ai eu récemment des problèmes de virus et spyware. J'utilise Avast couplé avec le parefeu Windows uniquement, tout ça tournant sous Windows Xp Pro SP2 (avant j'avais Norton Internet Security 2002... j'aurais p'tet pas du changer tout compte fait...)
Après plusieurs scans de Avast il me semblait avoir réussi à éliminer les chevaux de Troie qui revenaient sur mon PC (Win32:Small-Ek[Trj], Win32:Agent-IU[Trj], Win32:Adan-078[Adw] et Win32:Adan-094[Adw]). En fait ces saletés semblent rester dans la partie "system restore" d'XP. J'ai donc hier soir désactivé la fonction restauration systeme puis l'ai réactivé afin de purger tous les fichiers de restauration système (j'ai eu le sablier pendant un petit moment... c'est la procédure que j'ai trouvée sur le net pour supprimer les fichiers de restauration...)
J'ai évidemment déjà téléchargé et installé plusieurs antispyware (Arovax que je n'ai pas laissé sur mon PC, mais j'ai actuellement Spybot, Ad-aware et Windows Defender Beta2... j'ai encore fait tourner tout ça hier soir et Avast m'a éliminé deux fichiers vérolés (pppcmg.exe et sphlp.exe dans le répertoire windows\system32). Par contre je ne détecte plus de spyware (jsuqu'à quand... ce soir peut être ?)
Comment se fait il que je n'arrive pas à me débarasser de ces saletés qui reviennent ? Les différents spyware ainsi qu'Avast me retrouvent toujours quelque chose (et souvent les même spyware ou chevaux de troie). Je n'ai pas refait de scan spyware après avoir désactivé/réactivé la restauration systeme (en fait j'ai fait cette manip pendant que Windows Defender tournait)
Le problème que j'ai se voit dans Internet Explorer. Il démarre sans problème sur www.google.fr, ... puis je fais ma recherche, et si je clique gauche sur un lien, ou si je clic droit-> ouvrir dans une nouvelle fenêtre sur un lien, j'ai un redirect qui arrive vers une page à la c**. En bas à gauche de la fenêtre j'ai d'abord l'URL du site sur lequel je veux aller, mais rapidement cette URL est remplacée par un nouvelle qui commence par "http\\: 85.255.117.78" et ça m'envoie ensuite sur une page soit de pub, de cul, de m***e en général...
Donc je suppose qu'il reste quelque chose sur mon PC... Comme je viens juste de formatter et réinstaller (raison pour laquelle j'ai abandonné NIS 2002 pour Avast) je préfèrerai ne pas recommencer... Mais ça me gonfle. Je ne vais tout de même pas installer 200 antispyware sur mon PC, ni faire 2000 scans online de mon PC. Faut il désactiver de nouveau la restauration système, redémarrer en mode sans échec avant de scanner ??? Y a t il un moyen de retrouver l'origine avec l'URL 85.255.117.78 ? J'ai beaucoup entendu parler de HijackThis... encore un de plus sur mon PC (je ne suis plus à ça prêt)
Comment devrais je procéder pour éliminer une bonne fois pour toute cette saleté ? Où donc s'est il fourré ce truc ? Dans la base de registre ? Dans les fichiers de config de windows ou internet Explorer ?
Merci d'avance pour les infos que vous pourrez me fournir... sinon je vais me résigner à reformatter et remettre NIS 2002 (il bouffe des ressources le bougre mais il m'a semblé mieux bloquer les trucs que Avast couplé au parefeu Win...)
A bientôt
Brouzzouff
A voir également:
- Win32:small-ek et win32:agent-Iu entre autre
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
- Trojan win32 - Forum Virus
- PUADlManager:Win32/OfferCore ✓ - Forum Virus
- Win32:miscx-gen ✓ - Forum Linux / Unix
3 réponses
hello
oui IP 85 ... est récurrente, on connait (Ukraine)
donc passes EWIDO
http://users.skynet.be/BernieClub/index.html#antitrojan
et colle le rapport ici
puis fait un Hijackthis
http://users.skynet.be/BernieClub/index.html#hijackPROC
a+
oui IP 85 ... est récurrente, on connait (Ukraine)
donc passes EWIDO
http://users.skynet.be/BernieClub/index.html#antitrojan
et colle le rapport ici
puis fait un Hijackthis
http://users.skynet.be/BernieClub/index.html#hijackPROC
a+
Bonjour
Encore toute une série de scans ce soir... Avast, Spybot, Adaware, Hijackthis en mode sans échec... puis Hijack this et Ewido à l'instant en mode normal... Ci après les rapports de scan :
----------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 22:17:09, on 20/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Hijack this\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
----------------------------------------------------------------------------
----------------------------------------------------------------------------
ewido anti-malware - Rapport de scan
+ Créé le: 22:15:53, 20/04/2006
+ Somme de contrôle: 1C9EF847
+ Résultats du scan:
[568] VM_00DA0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[600] VM_00B70000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1416] VM_009D0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1704] VM_009A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1720] VM_00910000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1732] VM_008B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1780] VM_00AF0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1804] VM_01140000 -> Downloader.Agent.uj : Erreur durant le nettoyage
C:\Documents and Settings\Joe\Cookies\joe@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@com[1].txt -> TrackingCookie.Com : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@findwhat[1].txt -> TrackingCookie.Findwhat : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\WINDOWS\system32\howiper.exe -> Trojan.Small.gq : Nettoyer et sauvegarder
::Fin du rapport
----------------------------------------------------------------------------
Mauvaise nouvelle... malgré mes multiples scans j'ai toujours ce truc qui revient avec l'adresse IP précédemment citée.
Merci pour votre aide... Au pire je reformatterai (même si ça ne m'enchante pas...)
Brouzzouff
Encore toute une série de scans ce soir... Avast, Spybot, Adaware, Hijackthis en mode sans échec... puis Hijack this et Ewido à l'instant en mode normal... Ci après les rapports de scan :
----------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 22:17:09, on 20/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Hijack this\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: 222.111.150.111 gwgt1.joymax.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
----------------------------------------------------------------------------
----------------------------------------------------------------------------
ewido anti-malware - Rapport de scan
+ Créé le: 22:15:53, 20/04/2006
+ Somme de contrôle: 1C9EF847
+ Résultats du scan:
[568] VM_00DA0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[600] VM_00B70000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1416] VM_009D0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1704] VM_009A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1720] VM_00910000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1732] VM_008B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1780] VM_00AF0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[1804] VM_01140000 -> Downloader.Agent.uj : Erreur durant le nettoyage
C:\Documents and Settings\Joe\Cookies\joe@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@com[1].txt -> TrackingCookie.Com : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@findwhat[1].txt -> TrackingCookie.Findwhat : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Joe\Cookies\joe@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\WINDOWS\system32\howiper.exe -> Trojan.Small.gq : Nettoyer et sauvegarder
::Fin du rapport
----------------------------------------------------------------------------
Mauvaise nouvelle... malgré mes multiples scans j'ai toujours ce truc qui revient avec l'adresse IP précédemment citée.
Merci pour votre aide... Au pire je reformatterai (même si ça ne m'enchante pas...)
Brouzzouff
salut a toi
et bah dit donc yena du bordel chez. n'etant pas specialiste de log hijackthis je ne peux pas te dire quoi fixer mais certaine choses me semblent suspectes
ces choses ci ( mais ne fait rien sans un avis avisé) je n'ai pas envie que ton pc plante a cause de moi
bon sinon tu as bien fait de prendre avast en echange de norton
fait ce scan
bitdefender
https://www.bitdefender.fr/ (avec internet explorer )
bonne chance
et bah dit donc yena du bordel chez. n'etant pas specialiste de log hijackthis je ne peux pas te dire quoi fixer mais certaine choses me semblent suspectes
ces choses ci ( mais ne fait rien sans un avis avisé) je n'ai pas envie que ton pc plante a cause de moi
bon sinon tu as bien fait de prendre avast en echange de norton
fait ce scan
bitdefender
https://www.bitdefender.fr/ (avec internet explorer )
bonne chance
