Win32:trojan-gen other

Résolu
ntch Messages postés 9 Statut Membre -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous

nouvelle sur le forum j'ai suivi vos conseils et j'ai fait une liste d'hijackthis car j'ai trojan-gen que avast detecte mais ne supprime pas donc il est en quarantaine. j'avoue que la liste obtenue ne me dit rien et j'aurais besoin d'un peu d'aide svp.
Merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 22:31:57, on 09/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\natacha\Local Settings\Temporary Internet Files\Content.IE5\WT2R8P2B\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

17 réponses

  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Lance ce scan en ligne:
    http://www.bitdefender.fr/scan8/ie.html
    Copie/colle le rapport

    A+
    0
  2. ntch Messages postés 9 Statut Membre
     
    il n'a trouvé aucun virus, rien du tout même pas le virus en quarantaine dans avast, es ce normal?
    Si je supprime le virus en quarantaine, es ce que mon fichier sera supprimé également?
    Merci a+
    0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re

    Le virus en quarantaine, quel était le chemin cible?

    a+
    0
  4. ntch Messages postés 9 Statut Membre
     
    le chemin est c:windows\system32\drivers\FBAPI.syst
    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ntch Messages postés 9 Statut Membre
     
    désolé je me suis trompée il y a un t en trop, la fin c'est fbapi.sys
    a+
    0
  7. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ouch...

    Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :
    https://www.f-secure.com/en
    https://www.f-secure.com/en

    et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse

    a+
    0
  8. ntch Messages postés 9 Statut Membre
     
    hello
    ouchh ça veut dire que c'est grave?
    sinon j'ai fais le scan comme tu m' as dit mais il n'a rien trouvé.
    question: une fois le virus en quarantaine dans avast, es ce que les autres anti-virus peuvent le detecter?
    a+
    0
  9. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Fais le <6> en toute tranquillité.

    Copie et colle le contenu de ce rapport dans ta prochaine réponse
    A++

    0
  10. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Pour l instant rien de grave parce que je n ai encore rien vu lol
    Tu peux quand meme mettre le rapport comme marie le suggere, merci

    Bha j ai entendu dire qu une infection dans drivers etait coriace mais bon... lol

    S'il est en quarantaine, il est inactif. Si ton av ne le detecte plus, c est qu il est deplace en quarantaine donc c' est ok. A partir de la, sauf un scan online peut le detecter.

    a+
    0
  11. ntch Messages postés 9 Statut Membre
     
    salut,
    Je voudrais bien vous faire mettre le rapport mais je n'est rien c'est à dire qu'à la fin du scan de avast c'est juste marqué qu'il n'a détecté aucun virus.
    et le virus en quarantaine, je le laisse où il est?
    merci
    0
  12. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    Vide la quarantaine de avast.
    Mais ceci, tu ne l as pas fait?

    Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :
    https://www.f-secure.com/en
    https://www.f-secure.com/en

    et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse

    a+
    0
  13. ntch Messages postés 9 Statut Membre
     
    salut,
    pour toi vider la quarantaine c'est supprimer, restaurer ou extraire, c'est les 3 possibilités que j'ai si je clic droit sur le virus.
    excuse pour le rapport mais je n'avais pas sauvegardé sur le bureau alors le voilà maintenant.

    08/12/06 23:10:15 [Info]: BlackLight Engine 1.0.42 initialized
    08/12/06 23:10:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    08/12/06 23:10:15 [Note]: 7019 4
    08/12/06 23:10:15 [Note]: 7005 0
    08/12/06 23:10:18 [Note]: 7006 0
    08/12/06 23:10:18 [Note]: 7011 392
    08/12/06 23:10:19 [Note]: 7026 0
    08/12/06 23:10:19 [Note]: 7026 0
    08/12/06 23:10:21 [Note]: FSRAW library version 1.7.1019
    08/12/06 23:11:15 [Note]: 7007 0

    a+
    0
  14. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    c est clik droit sur l element de la quarantaine et supprimer.

    a+
    0
  15. ntch Messages postés 9 Statut Membre
     
    salut,
    j'ai supprimé le virus et j'ai refais un scan avec avast et là...surprise j'ai 2 fois je même virus dans 2 fichiers différents
    dans c:\system volume information\_restore{......}\RP2
    et dans c:\system volume information\_restore{......}\RP5

    C'est génial les virus
    Merci
    0
  16. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Les infections sont inactives, elles se situent dans un point de restauration.
    Tu as mis les elements en quarantaine? si OUI vide la, et relance un scan.

    a+
    0
  17. ntch Messages postés 9 Statut Membre
     
    salut,
    Ca a l'air bon, j'ai supprimé les virus, refais un scan et là plus de virus. j'ai aussi désactivé les restaurations puis réactiver pour avoir un nouveau point de restau et plus de virus dedans.
    En tout cas pour l'instand c'est SUPER GENIAL, plus de virus.

    Merci beaucoup à tout le monde. MERCI BEAUCOUP de votre aide c'est super gentil
    0
  18. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    salut

    content pour toi
    bonne continuation

    a+
    0