Sujet Précédent Sujet Suivant

Nouveau problème Win32:Trojan-gen. {Other}

Résolu/Fermé
Scribe999 - 14 oct. 2006 à 16:10
 galio - 2 sept. 2007 à 21:05
Bonjour,

j'ai constaté que plusieurs posts dans votre forum traitaient de l'éradication du Trojan Win32:Trojan-gen. {Other}.
L'ordinateur d'un de mes amis rencontre le même problème. Afin de l'aider à en venir à bout, je me tourne donc vers vous, chez qui je pense pouvoir trouver l'aide et l'expertise nécessaires.
Voici donc une première analyse de la situation:

A la connexion d’Internet ADSL , la fenêtre de connexion affiche un login différent du vrai, avec lequel il est impossible de connecter. Après correction du login et du password, la connexion se fait, mais le firewall Kerio indique immédiatement un problème décrit comme suit : « le numéro de téléphone pour l’appel, ou l’adresse de l’hôte d’une connexion VPN peuvent être truqués par un composant ActiveX. Ces composants sont capables de modifier des infos de connexion pour une destination non voulue appelée « ligne jaune ». Ces modifications sont effectuées sans votre … ».
Le numéro de téléphone affiché est faux (004382089984969) et le login est complètement modifié.
La fenêtre Kerio propose 2 options : soit de poursuivre (ce que nous n'avons pas fait) soit de déconnecter (fait systématiquement).
Après déconnexion, la reconnexion se fait automatiquement sur les login et N° de ligne téléphonique pirates.
Après passage d’Avast, nous avons constaté la présence de trois occurrences du même Trojan (voir ci-après) que nous avons mises en quarantaine.
Log Avast :
13/10/2006 20:16:30 Administrateur 484 Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\WINDOWS\system32\yljkbaxg.exe" file.
13/10/2006 20:17:37 Administrateur 484 Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\WINDOWS\system32\xdsfvyup.exe" file.
13/10/2006 20:47:00 Administrateur 484 Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\WINDOWS\defrag32.exe\ss.exe" file.

Après reboot du système et désinstallation/réinstallation du module ADSL Neuf Telecom, l’incident est toujours présent.
Nous avons fait un log HijackThis, que voici :

Logfile of HijackThis v1.99.1
Scan saved at 14:17:27, on 14/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\itunesff.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Ce sont vos documents\Chasse_virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.f5biz.com/kit/471/blackfr.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Merci de nous dire comment avancer sur la correction du problème.
A bientôt …
A voir également:

7 réponses

Réponse 1 / 7
d0ne Messages postés 1002 Date d'inscription lundi 6 juin 2005 Statut Membre Dernière intervention 3 février 2012 71
14 oct. 2006 à 23:09
salut a toi

telecharge ewido , spybot et ccleaner

installe les 3 . met a jour ewido et spybot . lance ccleaner et vire tous les fichiers temporaires.

ensuite passe un coup d'ewido et vire tout ce qu'il trouve

fais de meme avec spybot ( oubli pas de faire les vaccinations qui sont disponibles )
0
Scribe999
16 oct. 2006 à 20:09
Bonjour, dûne,
Merci de nous venir en aide.
Nous avons suivi tes instructions :

1-Chargé, installé et mis à jour CCleaner, Ewido et Spybot
2-Supprimé tous les fichiers temporaires avec CCleaner
3-Passé Ewido, qui a trouvé, outre quelques « spies » sans grande importance (« Adware.wnAd » (niveau moyen) et « Not a virus.downloader.win32.win » (niveau bas)), un plus méchant nommé « Highjacker.Linker.j »(niveau élevé), qui ne s’est pas laissé totalement supprimer. En effet, nous avons eu le message suivant : « Impossible de supprimer C:\WINDOWS\defrag32.exe/’.html car il fait partie de l’archive C:\WINDOWS\defrag32.exe. Voulez-vous supprimer l’archive entière ? », ce à quoi nous avons répondu NON (aurions-nous dû répondre OUI ?), et malgré tout Ewido nous a dit avoir tout supprimé ( ?).
3-Lancé Spybot, effectué les vaccinations, et lancé l’analyse. Nous avons trouvé 35 traces suspectes que nous avons supprimées.

Malgré ces différentes opérations, le problème, tel que décrit initialement, était toujours présent.
Nous avons alors découvert que notre antivirus Avast était périmé. Nous avons installé et mis à jour Antivir et avons scanné les deux partitions C: et D:. En voici le rapport, mettant en évidence 15 items mis en quarantaine :

AntiVir PersonalEdition Classic
Report file date: lundi 16 octobre 2006 17:45

Scanning for 527818 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-WURGE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Administrateur
Computer name: STEFPC

Version information:
AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:58
AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:34
LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:34
LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:34
ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:28
ANTIVIR1.VDF : 6.36.0.89 1745920 02/10/2006 15:42:06
ANTIVIR2.VDF : 6.36.0.101 78336 09/10/2006 15:42:06
ANTIVIR3.VDF : 6.36.0.130 65024 16/10/2006 15:42:06
AVEWIN32.DLL : 7.2.0.30 1872384 16/10/2006 15:42:08
AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:06
AVREP.DLL : 6.36.0.79 843816 16/10/2006 15:42:08
AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:32
AVPACK32.DLL : 7.2.0.0 368680 21/07/2006 06:00:30
AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36
NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:50
NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:56
RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:58
RCTEXT.DLL : 7.0.1.4 77864 16/10/2006 15:41:34

Configuration settings for the scan:
Jobname.......................: Local Hard Disks
Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp
Boot sectors..................: C,D
Scan memory...................: 1
Process scan..................: 1
Scan all files................: 2
Scan archives.................: 1
Recursion depth...............: 20
Smart extensions..............: 1
Macro heuristic...............: 1
File heuristic................: 0
Primary action................: 1
Secondary action..............: 0

Start of the scan: lundi 16 octobre 2006 17:45


The scan of running processes will be started
10 Processes were scanned

Start scanning boot sectors:

Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( 10 files ).


Starting the file scan:

C:\PAGEFILE.SYS
[WARNING] The file could not be opened!
C:\BACKUPE\System Volume Information\_restore{4FCA744C-C781-48DF-BE9A-0AA76917964F}\RP117\A0010513.exe
[DETECTION] Contains signature of the Windows virus W95/CIH (inactive)
[INFO] The file was moved to '4563aa08.qua'!
C:\BACKUPE\System Volume Information\_restore{4FCA744C-C781-48DF-BE9A-0AA76917964F}\RP117\A0010522.exe
[DETECTION] Contains signature of the Windows virus W95/CIH (inactive)
[INFO] The file was moved to '4563aa31.qua'!
C:\BACKUPE\System Volume Information\_restore{4FCA744C-C781-48DF-BE9A-0AA76917964F}\RP117\A0010527.exe
[DETECTION] Contains signature of the Windows virus W95/CIH (inactive)
[INFO] The file was moved to '4563aa3d.qua'!
C:\BACKUPE\System Volume Information\_restore{4FCA744C-C781-48DF-BE9A-0AA76917964F}\RP117\A0010536.exe
[DETECTION] Contains signature of the Windows virus W95/CIH (inactive)
[INFO] The file was moved to '4563aa40.qua'!
C:\WINDOWS\defrag32.exe
[DETECTION] Contains signature of the dropper DR/Click.Linker.J.3
[INFO] The file was moved to '4599aaca.qua'!
C:\WINDOWS\system32\index.html
[DETECTION] Is the Trojan horse TR/Html.Secdrop.A
[INFO] The file was moved to '4597ab91.qua'!
C:\WINDOWS\system32\1.html
[DETECTION] Contains signature of the Java script virus JS/Trojan.Downloader.IstBar.M
[INFO] The file was moved to '459baba8.qua'!
C:\WINDOWS\system32\2.html
[DETECTION] Contains signature of the Java script virus JS/Click.Link.j.1.A
[INFO] The file was moved to '459babe5.qua'!
C:\WINDOWS\system32\3.html
[DETECTION] Contains signature of the Java script virus JS/Click.Linker.j.2
[INFO] The file was moved to '459bac1f.qua'!
C:\WINDOWS\system32\raqnwte.exe
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/PoeBot.B.9 Backdoor server programs
[INFO] The file was moved to '45a4ac8c.qua'!
C:\WINDOWS\system32\TFTP6708
[DETECTION] Contains signature of the worm WORM/Mybot.266240
[INFO] The file was moved to '4587acac.qua'!
C:\WINDOWS\system32\TFTP8044
[DETECTION] Contains signature of the worm WORM/Mybot.266240
[INFO] The file was moved to '4587acca.qua'!
C:\WINDOWS\system32\TFTP5940
[DETECTION] Contains signature of the worm WORM/Mybot.266240
[INFO] The file was moved to '4587ad18.qua'!
C:\WINDOWS\system32\config\system.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SYSTEM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SOFTWARE
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\DEFAULT
[WARNING] The file could not be opened!
C:\WINDOWS\Downloaded Program Files\PackageHtml.dll
[DETECTION] Is the Trojan horse TR/Dialer.QJ
[INFO] Vom Virus TR/Dialer.QJ veränderte Registry- oder WIN.INI-Einträge wurden entfernt.(HKEY_CLASSES_ROOT\CLSID\{2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA}\InprocServer32\)
[INFO] Vom Virus TR/Dialer.QJ veränderte Registry- oder WIN.INI-Einträge wurden entfernt.(HKEY_CLASSES_ROOT\TypeLib\{592484A7-208C-4613-AC97-337D5D204BFB}\1.0\0\win32\)
[INFO] The file was moved to '4596b085.qua'!
C:\Documents and Settings\NetworkService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Administrateur\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\Administrateur\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
D:\pagefile.sys
[WARNING] The file could not be opened!
D:\Ce sont vos documents\backup\Mesdocs\Divers\iq1.exe
[DETECTION] Contains signature of the Windows virus W95/CIH (inactive)
[INFO] The file was moved to '4564b720.qua'!


End of the scan: lundi 16 octobre 2006 18:43
Used time: 58:13 min

The scan has been done completely.

2271 Scanning directories
116022 Files were scanned
15 viruses and/or unwanted programs were found
0 files were deleted
0 files were repaired
15 files were moved to quarantine
0 files were renamed
674 Archives were scanned
24 Warnings
0 Notes

Malgré le passage d'Antivir et les mises en quarantaine, le problème est toujours le même.

Voici un dernier log HighjackThis capturé à ce moment :
Logfile of HijackThis v1.99.1
Scan saved at 18:48:04, on 16/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Ce sont vos documents\Chasse_virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Que devons-nous faire maintenant ?
Merci par avance.

Scribe999
0
scribe999
17 oct. 2006 à 14:55
Bonjour, dûne,

j'ai du nouveau :

suite à la manip. d'hier, nous avons redémarré windows en mode sans echec, après avoir supprimé la restauration automatique.
Nous avons repassé :
-CClear
-Ewido (rien trouvé!)
-Spybot : trouvé un redirectedHost (supprimé)
Suite à ça, nous avons repassé Antivir, qui ne trouve plus rien.
Nous avons alors redémarré en mode normal, puis réinstallé la connexion ADSL, et là, ô surprise, le problème de détournement est toujours vivant.
Donc, re-passage en mode sans échec, repassage spybot, et là, ne trouve rien ! ?????
Que faire ? Là je suis sec !
Quelqu'un peut-il aider ????
Merci d'avance
0
Réponse 2 / 7
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
17 oct. 2006 à 15:01
Salut,

Pour le ""smillblikk"" ==> lol

lol

Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"


O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab

Tu redémarres et dis nous tes symptomes

A++


0
Réponse 3 / 7
scribe999
18 oct. 2006 à 11:28
Bonjour, ^^Marie^^,

Nous avons fait ce que tu as dit, les 4 lignes ont été cochées et traitées.
Pour éviter tout risque, le module de connexion ADSL Neuf Telecom a été désinstallé et réinstallé.
Malheureusement le problème est toujours là, après reboot :
- la boite de connexion affiche des login et password "bidouillés" indiqués comme erronés
- une fois ces infos corrigées, la connexion ADSL se fait bien, mais Kerio alerte avec le message : « le numéro de téléphone pour l’appel, ou l’adresse de l’hôte d’une connexion VPN peuvent être truqués par un composant ActiveX. Ces composants sont capables de modifier des infos de connexion pour une destination non voulue appelée « ligne jaune ». Ces modifications sont effectuées sans votre … ».
Et de plus, Spybot ne trouve plus rien.
Voici le dernier log HighjackThis :

Logfile of HijackThis v1.99.1
Scan saved at 10:33:07, on 18/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Ce sont vos documents\Chasse_virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Merci de tes conseils pour pouvoir avancer sur le problème.
A bientôt
0
Réponse 4 / 7
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
18 oct. 2006 à 11:33
Je pense que c'est lui qui emm***

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w

Jette un oeil ici :

itunesff exe cheval troi delete impossible

Tiens nous au courant

A++
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
scribe999
19 oct. 2006 à 09:23
Bonjour, ^^Marie^^,

je crois que cette dernière intervention a achevé de tuer la "bête".
Après exécution de tes instructions, puis désinstallation/réinstallation du module ADSL, tout est redevenu normal.
Merci de ton aide précieuse, ainsi que de celle de dûne.
Bon vent.
0
Réponse 6 / 7
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
19 oct. 2006 à 10:18
Bonne Route
A++
0
Réponse 7 / 7
galio
2 sept. 2007 à 21:05
salut a tous

j'ai le même message de la part de kerio ( connexion vpn truqués .......)
je tiens a vous signaler que je ne comprends pas grand chose en informatique et je suis vraiment perdu
de puis quelques jours une nouvelle connexion internet (2) essais de se connecter
avast bloque des attaques ( DCOM exploit ) et là je suis perdu ...... mais grave
je vous lance un s o s et espére pouvoir trouver une aide de votre part

merci d'avance a vous tous
0

Discussions similaires

C'est quoi le site qui remplace coco chat
TP3 -
bazfile -

2 réponses
Coco chat connexion sur mobile, le tchat est fermé ?
Pisceneo -
brucine -

24 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
site coco, m'identifiez comme pays etranger
PLUTO48 -
PLUTO48 -

2 réponses