win32:trojan-gen other Résolu/Fermé

Question

Bonjour à tousnouvelle sur le forum j'ai suivi vos conseils et j'ai fait une liste d'hijackthis car j'ai trojan-gen que avast detecte mais ne supprime pas donc il est en quarantaine. j'avoue que la liste obtenue ne me dit rien et j'aurais besoin d'un peu d'aide svp.Merci d'avanceLogfile of HijackThis v1.99.1Scan saved at 22:31:57, on 09/08/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\system32
vsvc32.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcAppFlt.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\WINDOWS\system32\wscntfy.exeC:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXEC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\system32\RunDLL32.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\system32\RunDLL32.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings
atacha\Local Settings\Temporary Internet Files\Content.IE5\WT2R8P2B\HijackThis[1].exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunchR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dllO4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStartO4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLLO10 - Unknown file in Winsock LSP: c:\windows\system32
vappfilter.dllO10 - Unknown file in Winsock LSP: c:\windows\system32
vappfilter.dllO10 - Unknown file in Winsock LSP: c:\windows\system32
vappfilter.dllO10 - Unknown file in Winsock LSP: c:\windows\system32
vappfilter.dllO10 - Unknown file in Winsock LSP: c:\windows\system32
vappfilter.dllO10 - Unknown file in Winsock LSP: c:\windows\system32
vappfilter.dllO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcAppFlt.exeO23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN
ipsvc.exe (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exeO23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

Regis59 · Answer

SalutLance ce scan en ligne: http://www.bitdefender.fr/scan8/ie.html  Copie/colle le rapportA+

ntch · Answer

il n'a trouvé aucun virus, rien du tout même pas le virus en quarantaine dans avast, es ce normal?Si je supprime le virus en quarantaine, es ce que mon fichier sera supprimé également?Merci a+

Regis59 · Answer

ReLe virus en quarantaine, quel était le chemin cible?a+

ntch · Answer

le chemin est c:windows\system32\drivers\FBAPI.systa+

ntch · Answer

désolé je me suis trompée il y a un t en trop, la fin c'est fbapi.sysa+

Regis59 · Answer

Ouch...Télécharge Blacklight (de F-Secure) a l’une des 2 adresses : https://www.f-secure.com/en https://www.f-secure.com/en et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse a+

ntch · Answer

helloouchh ça veut dire que c'est grave?sinon j'ai fais le scan comme tu m' as dit mais il n'a rien trouvé.question: une fois le virus en quarantaine dans avast, es ce que les autres anti-virus peuvent le detecter?a+

^^Marie^^ · Answer

Fais le <6> en toute tranquillité.Copie et colle le contenu de ce rapport dans ta prochaine réponse A++

Regis59 · Answer

SalutPour l instant rien de grave parce que je n ai encore rien vu lolTu peux quand meme mettre le rapport comme marie le suggere, merciBha j ai entendu dire qu une infection dans drivers etait coriace mais bon... lolS'il est en quarantaine, il est inactif. Si ton av ne le detecte plus, c est qu il est deplace en quarantaine donc c' est ok. A partir de la, sauf un scan online peut le detecter.a+

ntch · Answer

salut,Je voudrais bien vous faire mettre le rapport mais je n'est rien c'est à dire qu'à la fin du scan de avast  c'est juste marqué qu'il n'a détecté aucun virus.et le virus en quarantaine, je le laisse où il est?merci

Regis59 · Answer

salutVide la quarantaine de avast.Mais ceci, tu ne l as pas fait?Télécharge Blacklight (de F-Secure) a l’une des 2 adresses : https://www.f-secure.com/en https://www.f-secure.com/en et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse a+

ntch · Answer

salut, pour toi vider la quarantaine c'est supprimer, restaurer ou extraire, c'est les 3 possibilités que j'ai si je clic droit  sur le virus.excuse pour le rapport mais je n'avais pas sauvegardé sur le bureau alors le voilà maintenant.08/12/06 23:10:15 [Info]: BlackLight Engine 1.0.42 initialized08/12/06 23:10:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)08/12/06 23:10:15 [Note]: 7019 408/12/06 23:10:15 [Note]: 7005 008/12/06 23:10:18 [Note]: 7006 008/12/06 23:10:18 [Note]: 7011 39208/12/06 23:10:19 [Note]: 7026 008/12/06 23:10:19 [Note]: 7026 008/12/06 23:10:21 [Note]: FSRAW library version 1.7.101908/12/06 23:11:15 [Note]: 7007 0a+

Regis59 · Answer

Salut,c est clik droit sur l element de la quarantaine et supprimer.a+

ntch · Answer

salut,j'ai supprimé le virus et j'ai refais un scan avec avast et là...surprise j'ai 2 fois je même virus dans 2 fichiers différentsdans c:\system volume information\_restore{......}\RP2et dans c:\system volume information\_restore{......}\RP5C'est génial les virusMerci

Regis59 · Answer

SalutLes infections sont inactives, elles se situent dans un point de restauration.Tu as mis les elements en quarantaine? si OUI vide la, et relance un scan.a+

ntch · Answer

salut,Ca a l'air bon, j'ai supprimé les virus, refais un scan et là plus de virus. j'ai aussi désactivé les restaurations puis réactiver  pour avoir un nouveau point de restau et plus de virus dedans.En tout cas pour l'instand c'est SUPER GENIAL, plus de virus.Merci beaucoup à tout le monde. MERCI BEAUCOUP de votre aide c'est super gentil

Regis59 · Answer

salutcontent pour toibonne continuationa+

Win32:trojan-gen other

17 réponses

Discussions similaires