Trojan.Downloader.RW a déloger

Résolu/Fermé
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008 - 22 juil. 2006 à 18:59
 parsonne - 24 avril 2009 à 00:03
Bonjour a tous, j'ai un sacré problème avec ce trojan à la noix, en plsu je suis nulle en informatique...

Donc voila, j'ai bitdefender qui me trouve un trojan : Trojan.Doxnloader.RW depuis 3 jours... Je sais pas comment faire pour le déloger....

C'est la première fois que j'ai un virus, si quelqu'un peut m'aider ca serait sympa !!!

voici le rapport de bitdefender :


//-----------------------------------------------------------------
//
// Fichier journal BitDefender
//
// Créé le: 22/07/2006 09:26:15
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
D:\
E:\
F:\
G:\
H:\
I:\
Dossiers : 5371
Fichiers : 720266
Archives : 4280
Fichiers empaquetés : 94399
Virus trouvés : 1
Fichiers infectés : 1
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers copiés : 0
Fichiers déplacés : 0
Fichiers renommés : 0
Erreurs I/O : 74
Temps d'analyse := 03:31:52
Fichiers/seconde :56

Définitions virus : 416748
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 5
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant

Sommaire :

C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe Infectés avec Trojan.Downloader.RW
C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe Désinfection impossible
C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe Déplacement impossible
Fichiers analysés

26 réponses

jmp59 Messages postés 28813 Date d'inscription mercredi 9 juin 2004 Statut Contributeur Dernière intervention 25 novembre 2015 6 343
22 juil. 2006 à 20:45
Bonjour,

Si tu ne l'as pas déjà fait, essaies tout simplement de supprimer ce fichier.
Si tu l'as déjà fait, ou si windows n'y arrive pas (ce qui est assez probable) recommences en Mode sans échec.

Si ça ne marche pas non plus, reviens pour qu'on essaies autre chose.

A+.
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
23 juil. 2006 à 08:58
Bonjour,

J'ai essayé en mode sans echec, en affichant les fichiers cachés etcetc... Le problème c'est que je n'arrive pas à localiser le fichier qui est infecté en faisant recherche (je cherche ca : UERSV_0001_N68MO602NetInstaller.exe)
0
jmp59 Messages postés 28813 Date d'inscription mercredi 9 juin 2004 Statut Contributeur Dernière intervention 25 novembre 2015 6 343
23 juil. 2006 à 09:27
Tu as regardé là ?
C:\WINDOWS\Downloaded Program Files\

S'il ne s'y trouve pas, fais un Hijackthis rt colles le rapport ici.
Si tu ne sais pas le faire, je t'expliquerai.
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
23 juil. 2006 à 09:28
J'ai regardé dans ce dossier mais je trouve rien...

euh, oui, je veux bien que tu m'explique s'il te plait....
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
23 juil. 2006 à 22:08
Salut

Utilise ce programme:

https://www.01net.com/telecharger/windows/Utilitaire/cryptage_et_securite/fiches/23822.html

Démo d’utilisation ici (merci à Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demochaos.swf

Tu vas le trouver et tu pourras le supprimer comme sur la video.

a+
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
23 juil. 2006 à 22:19
alors, je viens d'essayer mais quand je veux executer le programme, une fenetre s'ouvre et me dit : impossible de m'ouvrir tout seul

sniiiif
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
23 juil. 2006 à 22:25
Re,

Pas possible lol

Comment procedes tu? Quel est le message exact?

a+
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
23 juil. 2006 à 22:29
alors qd je clike 2 fois sur le raccourci du bureau ca me fait lancer l'installation et puis plus rien...

Alors, je fais un clic droit dessus et je fais executer en tant que...

Ca m'ouvre une fenetre qui me demande selectionner un utilisateur (le nom de mon pc) et je fais ok, et la ca me met : impossible de m'ouvrir tout seul

édit : nan c bon oubliez ce que je viens de dire !!! j'ai le programme qui s'ouvre !!!
Par contre j'ai pas trop compris comment on lance la recherche... Je dois trouver mon fichier moi-meme ?
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
23 juil. 2006 à 22:51
lol
Il faut pas utiliser le raccourci lol

Oui, consultes la vidéo que je t ai mise, tu vas comprendre son fonctionnement !

a+
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
23 juil. 2006 à 22:56
bon alors, je viens de trouver le fichier et je l'ai supprimé...

Qd j'ai cliqué dessus mon antivirus s'est affolé et mas dit que ce fichier était infecté avec le virus...

Maintenant que je l'ai supprimé, il ne me dit plus rien...

Aurais-je trouver la solution ??? Je scanne mon ordi avec l'antivirus et je vous met le rapport...

++
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
23 juil. 2006 à 22:57
Salut

Relance un scan et dis nous s il s y trouve encore?

Bonne nuit, je regarderais demain

a+
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
24 juil. 2006 à 00:59
//-----------------------------------------------------------------
//
// Fichier journal BitDefender
//
// Créé le: 23/07/2006 22:43:40
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
D:\
E:\
F:\
G:\
H:\
I:\
Dossiers : 5450
Fichiers : 724131
Archives : 4435
Fichiers empaquetés : 94831
Virus trouvés : 1
Fichiers infectés : 1
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers copiés : 0
Fichiers déplacés : 0
Fichiers renommés : 0
Erreurs I/O : 67
Temps d'analyse := 02:12:16
Fichiers/seconde :91

Définitions virus : 416915
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 5
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant

Sommaire :

C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe Infectés avec Trojan.Downloader.RW
C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe Désinfection impossible
C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe Déplacement impossible
Fichiers analysés

SNIIIIIIIIIIIIIIIIIIIIIIIIF

lMais que faire ?
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
24 juil. 2006 à 11:00
Salut

Il est surtout réactivé par un processus.

télécharge HijackThis ici:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
0
Alyss0 Messages postés 1 Date d'inscription dimanche 24 septembre 2006 Statut Membre Dernière intervention 24 septembre 2006
24 sept. 2006 à 13:47
Bonjour !

J'ai le meme pl actuellement que libelune !!!
Je suis tes conseils mais je suis perdue a ce moment apres avoir le rapport de hijackthis car je ne sais pas quelles lignes fixer ?! peux tu m'aider la dessus ? milles merci :

Logfile of HijackThis v1.99.1
Scan saved at 13:35:32, on 24/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Softwin\BitDefender10\bdlite.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Marlice\Bureau\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Program Files\strCodec\iesplugin.dll
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61D9CD1C-8845-4038-B205-4DBEA694683E}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

VOILOU !
Alyss
0
parsonne > Alyss0 Messages postés 1 Date d'inscription dimanche 24 septembre 2006 Statut Membre Dernière intervention 24 septembre 2006
24 avril 2009 à 00:03
truc: active ton fire wall pi toute le kit
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
24 juil. 2006 à 19:39
bon, je crois que c'est bon, j'ai fait un scan avec l'antivirus qui mas dit ca :

//-----------------------------------------------------------------
//
// Fichier journal BitDefender
//
// Créé le: 24/07/2006 13:32:58
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
E:\
F:\
G:\
H:\
I:\
Dossiers : 5450
Fichiers : 724854
Archives : 4412
Fichiers empaquetés : 94834
Virus trouvés : 0
Fichiers infectés : 0
Alertes : 0
Fichiers suspects : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers copiés : 0
Fichiers déplacés : 0
Fichiers renommés : 0
Erreurs I/O : 68
Temps d'analyse := 02:35:28
Fichiers/seconde :77

Définitions virus : 416915
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 5
Plug-ins messagerie : 6
Plug-ins système : 1

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Analyser les archives
[X] Analyser les fichiers en paquets
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Copier
[ ] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[ ] Copier
[X] Déplacer dans le dossier infectés
[ ] Renommer
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal : vscan.log
[ ] Rajouter au rapport existant
Fichiers analysés

Par contre je sais pas si j'ai bien fait de faire comme j'ai fait...

J'ai allumer mon pc en mode sans échec, et j'ai supprimé le dossier download program files...
Et le virus n'y est plus...

Et je peut tout de meme me connecter a internet...

Voila, j'espere ne pas avoir fait de bétises, et je tiens a remercier tout ceux qui m'ont aidé a résoudre mon probléme !!!
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
24 juil. 2006 à 20:54
Re,

Tu as supprimé download program files?

lol Il stock des active x....
Essai de te connecter sur un site ou scan en ligne necessitant un active x et voit si tu n as pas de problemes ?!

a+
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
24 juil. 2006 à 21:08
re,

moué... J'ai supprimé ca...

Est-ce que tu as une adresse a me donner pour un site comme ca ???

Je sais pas du tout ou aller pour vérifier....
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
24 juil. 2006 à 21:10
Re

essaie ici ou ici:

http://www.bitdefender.fr/scan8/ie.html
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
24 juil. 2006 à 21:38
re,
je n'ai eu aucun probléme !!!
J'ai aussi remarqué que le dossier download program files a reaparu mais sans virus cette fois ;)

Merci pour tout !
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
24 juil. 2006 à 22:02
Ah bhé super alors !

Bonne continuation !

A++
0
Libellune Messages postés 13 Date d'inscription samedi 22 juillet 2006 Statut Membre Dernière intervention 10 décembre 2008
24 juil. 2006 à 22:18
Merci !! bonne continuation a vous tous aussi !!

merci et a +++
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
24 juil. 2006 à 22:50
de rien

a+
0
Bonjour!

HELP!!!!

J en ai marre de c fichus trojans!
depuis 3 jours je me bat contre ce fameux trojan.downloader.rw et voici que ce matin oh surprise il avait invité un copain!! cette fois si je me retrouve avec trojan.downloader.o en plus.

j vais essayer de faire comme Libellune en espérant que ca marche.

j vous joint une copie de mmon analyse hijack this

Logfile of HijackThis v1.99.1
Scan saved at 13:49:07, on 22/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
F:\DAO\svchost.exe
F:\Common\Bin\WinCinemaMgr.exe
C:\Program Files\DigitalPeers\CamTrack\camtrack.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\AURLIE~1\LOCALS~1\Temp\Rar$EX00.750\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Windows LSASS Service] F:\DAO\svchost.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: CamTrack.lnk = C:\Program Files\DigitalPeers\CamTrack\camtrack.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Parce qu à force d utiliser Ccleaner et tt un tas de trucs j ai peur d avoir fait des betises en plus!
0
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 346
22 août 2006 à 13:55
Salut

deja je vois 2 antivirus, bitdefender et avast.

N en garde qu un seul des 2. Supprime l autre.

Ensuite,

Lance ce scan en ligne:
http://www.bitdefender.fr/scan8/ie.html
Copie/colle le rapport

A+
0