Win32/TrojanClicker.Small.KJ Résolu/Fermé

Question

Bonjour tout le monde, et bien voilà, ma copine a réussi à choper ceci : 
Virus détecté en mémoire: cheval de Troie Win32/TrojanClicker.Small.KJ. Ce fichier peut être supprimé. Assurez-vous d'avoir sauvegardé vos données avant le nettoyage. Aucune action ne peut être appliquée à une infiltration en mémoire. Infection de la mémoire système originaire du fichierC:\WINDOWS\spoolsv32.dll.

NOD 32 n'arrive pas à le faire sauter.

Voici le petit log qui va bien.

Logfile of HijackThis v1.99.1
Scan saved at 11:15:02, on 07/11/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\ESET
od32kui.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Laetitia\Bureau\1019203559.dll (file missing)
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [eMCryT Shears Panagers] ktsnbccbr.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\DLLLOADRS.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [eMCryT Shears Panagers] ktsnbccbr.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - http://components.viewpoint.com/...
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: pasksa - C:\WINDOWS\SYSTEM32\pasksa.dll
O20 - Winlogon Notify: style32 - C:\WINDOWS\q2146907.dll (file missing)
O20 - Winlogon Notify: xartcd5 - xartcd5.dll (file missing)
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32
etddesrv.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci de bien vouloir y jeter un oeil et de me filer un petit coup de pouce.
Il en va de la vie d'un PC sur le point de faire une chute libre de plusieurs étages.

steve463 · Answer

Je sais, je n'ai pas fait dans la dentelle car pas beaucoup de cas avec ce virus trouvé sur le net.
Que 3 réponses avec google.
Bah cela pimente la chose.

steve463 · Answer

Du nouveau, lorsque je vais dans C:\WINDOWS\spoolsv32.dll., j'analyse avec NOD32 qui détecte le virus et le suprime.
Mais lorsque je redémarre le PC, il est revenu au même endroit.
Je tourne en rond.
Je suis passé chez secuser et Kapersky pour une analyse online mais rien de véritablement positif si ce n'est qu'ils trouvent la même chose que NOD32. 
Merci pour votre aide.

steve463 · Answer

J'ai bien peur d'avoir tiré le gros lot.
Pas de réponse pour le moment ce qui indique que la solution n'est pas simple.
Je viens de passer a-squared également qui m'a trouvé pas mal de bricoles.
Mais toujours pas la solution.
Qui a une grosse poubelle ?

Utilisateur anonyme · Answer

Salut,

télécharge Avast, installe le mets le à jour puis désactive NOD32
Dès qu'Avast est à jour, redémarre ton Pc en mode sans echec* puis effectue un scan complet de ton système

En même temps que tu es en mode sans echec, clique sur démarrer, rechercher et supprime ces processus:

C:\Windows\system32\p79bsksb.sys
C:\WINDOWS\SYSTEM32\pasksa.dll
C:\WINDOWS\service32.exe
C:\WINDOWS\System32\wuapi.exe 
C:\WINDOWS\System32
etddesrv.exe


Clique sur démarrer, exécuter, tape: services.msc ,cherche dans la liste cette ligne, fais un clique droit dessus "propriétés" à type de démarrage tu mets "désactivé" puis appliquer, ok.

Automatic Update Service
NetDDE Server


Dès que c'est fini, redémarre le PC normalement, tu fera un clique droit sur Hijackthis puis "renommer" tu marquera abcde.exe  "appliquer" puis "ok" et tu nous enverra un nouveau rapport hijackthis en prècisant si Avast et la manipulation c'est bien passé


*Mode sans echec:
Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. 

Avast: (anti-virus gratuit en Français!)
Avast

steve463 · Answer

Bonsoir, merci pour ton aide.
J'ai fais le nécéssaire et c'est presque tout revenu dans l'ordre.
J'ai récupéré ce que je voulais et j'en ai profité pour formater et tout refaire.
Désolé pour cette réponse tardive mais j'étais en déplacement.
Cordialement.

Utilisateur anonyme · Answer

Salut

ok, pas de soucis ;-)

A++

Win32/TrojanClicker.Small.KJ

6 réponses

Discussions similaires