trojan:'p9c6f7z6x9i5. exe' et 'mal[1].exe' Résolu

Question

Bonsoir,suite à plusieurs analyses avec 'AVG 7.5','Spybot S&D','Ad-Aware',a-squared security center',
2 cheval de troie dialer reviennent constamment: C:/p9c6f7z6x9i5.exe   et  mal[1].exe
Je ne sais pas d'ou cela peut provenir mais à cause de ces trojans, ma connection internet se deconnecte et je dois redemarrer mon pc, pour quelle refonctionne(très souvent!).
J'ai fais une analyse avec hijackthis dont voici le resultat:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\explore.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\Promon.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Windows20001\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\www.numericable.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [IDMan] C:\Documents and Settings\Windows20001\Bureau\Internet Download Manager v5.02+crack Up By T!B@\IDMCrack\IDMan.exe /onboot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Download All Links with IDM - C:\Documents and Settings\Windows20001\Bureau\Internet Download Manager v5.02+crack Up By T!B@\IDMCrack\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Documents and Settings\Windows20001\Bureau\Internet Download Manager v5.02+crack Up By T!B@\IDMCrack\IEExt.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O14 - IERESET.INF: START_PAGE_URL=http:\www.numericable.fr
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows explorer - Unknown owner - C:\WINNT\explore.exe



Je vous prie de bien vouloir m'aider car serieusement les deconnections deviennent vraiment embetantes pour travailler.
Merci à l'avance

xemor · Answer

Bonjour

Relance hijackthis et fixe les lignes suivantes (uniquement celles la)

C:\WINNT\explore.exe

O23 - Service: Windows explorer - Unknown owner - C:\WINNT\explore.exe

1/ Désactive ta restauration système :


    Dans la barre des tâches de Windows, cliquez sur Démarrer.
    Clique avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés.
    Dans l'onglet Restauration du système, sélectionne Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.
    Si tu ne vois pas l'onglet Restauration du système, tu n'es pas connecté sous Windows comme Administrateur.
    Clique sur Appliquer. 
    Lorsque le message de confirmation apparaît, cliquez sur Oui.
    Cliquez sur OK.


2/ Télécharge et nettoie ton PC avec CCLEANER :

ccleaner

Utilisation : Dans l'onglet "Nettoyeur" clique sur "Analyse". Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
Ensuite, dans l'onglet "Erreurs" clique sur "Chercher des erreurs" puis,  clique sur "Réparer les erreurs sélectionnées" et effectue une sauvegarde de ton registre (comme proposé). Recommence jusqu’à ce qu’il ne trouve plus rien.

3/ Télécharge EasyCleaner ici :

https://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html

Utilisation : Exécuter EasyCleaner, choisir "Registre" + "Inutiles". Ne pas toucher à la fonction doublons. Supprimer tout ce qu'il vous propose.


4/ Télécharge Spybot :

Tu trouveras le lien sur la page d'accueil de ccm côté gauche. Installe le

Utilisation : Clique sur Vérifier tout. Selectionne tout et clique sur vaccination

5/ Redémarre en mode sans echec 

Il faut tapotter sur la touche F8 pendant le demarrage Attention tu n'auras plus accés à cette page à partir de ce moment donc imprime ou note les informations qui se situent en dessous

6 / Supprimes le fichier suivant :
C:\WINNT\explore.exe ---->c'est explore.exe qu'il faut supprimer !
Vide ta poubelle

7/ Redemarre en mode normal
8/ Reposte un log d'hijackthis

tiffanie · Answer

Dans la barre des tâches de Windows, cliquez sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés. 
Dans l'onglet Restauration du système, sélectionne Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs. 
Si tu ne vois pas l'onglet Restauration du système, tu n'es pas connecté sous Windows comme Administrateur. 
Clique sur Appliquer. 
Lorsque le message de confirmation apparaît, cliquez sur Oui. 
Cliquez sur OK. 


je vois pas cet onglet pourtant je suis l'administrateur.Peut-etre qu'avec ma version de windows il ne l'a pas?(windows 2000)

xemor · Answer

Oublie cette étape windows 2000 n'a pas de restauration système (je suis tellement habituée avec xp !!!!!!)

tiffanie · Answer

Bonjour! Suite à une impossibilité à me connecter à internet...Je n'ai pas pu repondre avant.Alors voici le resultat de Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:41:56, on 16/12/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32egsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\Promon.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\System32\wuauclt.exe
C:\Documents and Settings\Windows20001\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\www.numericable.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\idmmbc.dll
O14 - IERESET.INF: START_PAGE_URL=http:\www.numericable.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NMS Service (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows explorer - Unknown owner - C:\WINNT\explore.exe (file missing)



Voila.En etant en mode sans echec,je n'ai pas pu supprimer un fichier 'explorer' comme vous me l'aviez demandé,mais les autres ont été supprimés.Merci encore pour votre aide,j'attends une reponse de votre part:)

tiffanie · Answer

voila,voila.Merci encore pour ton aide Xemor:)


12/17/06 18:00:20 [Info]: BlackLight Engine 1.0.47 initialized
12/17/06 18:00:20 [Info]: OS: 5.0 build 2195 (Service Pack 3)
12/17/06 18:00:21 [Note]: 7019 4
12/17/06 18:00:21 [Note]: 7005 0
12/17/06 18:00:22 [Note]: 7006 0
12/17/06 18:00:22 [Note]: 7011 1092
12/17/06 18:00:23 [Note]: 7026 0
12/17/06 18:00:23 [Note]: 7026 0
12/17/06 18:00:38 [Note]: FSRAW library version 1.7.1020
12/17/06 18:02:51 [Note]: 7007 0



J'espere qu'il n'y a rien de grave^^

xemor · Answer

Essaye de relancer avg pour voir s'il te trouves encore ces chevaux de troie

et dis moi où en sont tes problèmes de déconnexion sont ils tjs présents ?

tiffanie · Answer

(L'analyse AVG est en cours).Depuis que mon ordinateur est allumé je n'ai pas encore eu de coupures,mais je trouve qu'à l'allumage il est long,et pour ouvrir des programmes aussi:/
(ex: panneau de configuration, il faut au moins 20s pour qu'il s'affiche).

xemor · Answer

Pour enlever des programmes inutiles au demarrage tu peux faire cette manip :   

   1.  Clique sur le >Menu  Démarrer Exécuter
   2. Tape la commande msconfig
   3. Clique si besoin sur l'onglet Démarrage
   4. Coche ou décoche selon les besoins les programmes souhaités

tiffanie · Answer

AVG ne trouve plus les trojans!!!Merci beaucoup a toi!!!
Mais pour 'msconfig' je ne peux pas le faire, il me dit que le composant et introuvable(cause: windows 2000?).
Après ce petit soucis je pense que tout sera regler:)Encore merci.

xemor · Answer

peut être je ne connais pas bien windows 2000

et de rien pour l'aide c de bon coeur !

peux tu rééditer ton message comme résolu s'il te plait ?

tiffanie · Answer

Biensur:)Je te remerci encore, je ne sais pas ce que j'aurai pu faire sans ton aide.Je ferais parler de votre forum auprès des gens qui ont des problèmes^^.Bizous à toute l'equipe.A une prochaine fois qui c'est:D

xemor · Answer

si tu as besoin n'hésite pas !!!!

Bonne continuation

Trojan:'p9c6f7z6x9i5. exe' et 'mal[1].exe'

12 réponses

Votre réponse

Discussions similaires

Newsletters