Trojand Downloader Fermé

Question

Bonjour a tous,

J'ai un petit problème sur mon ordinateur, mon ativirus Kaspersky me detecte toujours au démarrage un virus Trojan Downloader. 

Est ce que cela est dangereux ?

J'ai fait un scan avec Hijackthis, voici le LOG

Logfile of HijackThis v1.99.1
Scan saved at 09:57:53, on 2007-01-20
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Yvon Et Ruth.PC\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.rds.ca/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by111fd.bay111.hotmail.msn.com/activex/HMAtchmt.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0812.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0812.00.dll
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Qu'est ce qu'il faut faire ?

Merci beaucoup de m'aider.

philae83 · Answer

Bonjour,

poste le message de kaspersky

et

fait un scan antivirus en ligne
http://www.bitdefender.fr/scan8/ie.html
sauvegarde le rapport au format TEXTE stp, et poste le

Peter6969 · Answer

Salut,

Kaspersky me detecte toujours cela
Trojan-Downloader.VBS.Small.Co


Voici les resultats pour Bitdefender

:\Documents and Settings\Administrateur.PC\Bureau\Soft\validation & Activation\WPA_Kill.exe
 Infecté par: Trojan.Tool.Wpakill.B
 
C:\Documents and Settings\Administrateur.PC\Bureau\Soft\validation & Activation\WPA_Kill.exe
 Echec de la désinfection
 
C:\Documents and Settings\Administrateur.PC\Bureau\Soft\validation & Activation\WPA_Kill.exe
 Supprimé
 
C:\Documents and Settings\Yvon Et Ruth.PC\Bureau\Autres\Pop-Up Stopper Free Edition.lnk=>D:\Popup stopper\Pop-Up Stopper Free Edition\PSFree.exe
 Infecté par: DeepScan:Generic.Mitglied.0E56ED1E
 
C:\Documents and Settings\Yvon Et Ruth.PC\Bureau\Autres\Pop-Up Stopper Free Edition.lnk=>D:\Popup stopper\Pop-Up Stopper Free Edition\PSFree.exe
 Echec de la désinfection
 
C:\Documents and Settings\Yvon Et Ruth.PC\Bureau\Autres\Pop-Up Stopper Free Edition.lnk=>D:\Popup stopper\Pop-Up Stopper Free Edition\PSFree.exe
 Supprimé
 
C:\Documents and Settings\Yvon Et Ruth.PC\Bureau\Autres\Pop-Up Stopper Free Edition.lnk
 Echec de la mise à jour
 
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
 Infecté par: DeepScan:Generic.Mitglied.0E56ED1E
 
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
 Echec de la désinfection
 
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
 Supprimé
 
C:\Program Files\Microsoft IntelliPoint\point32.exe
 Infecté par: DeepScan:Generic.Mitglied.0E56ED1E
 
C:\Program Files\Microsoft IntelliPoint\point32.exe
 Echec de la désinfection
 
C:\Program Files\Microsoft IntelliPoint\point32.exe
 Echec de la suppression
 
C:\Program Files\Setup\Setup.exe
 Infecté par: Trojan.WhenU.H
 
C:\Program Files\Setup\Setup.exe
 Echec de la désinfection
 
C:\Program Files\Setup\Setup.exe
 Supprimé
 
C:\Program Files\SuperCopier\ApiHooks.dll
 Infecté par: Trojan.Exploit.Debploit.F
 
C:\Program Files\SuperCopier\ApiHooks.dll
 Echec de la désinfection
 
C:\Program Files\SuperCopier\ApiHooks.dll
 Supprimé
 
C:\Program Files	hemexp\Themexp.org File\SetupInst.exe=>(CAB Sfx r)=>Setup.exe
 Infecté par: Trojan.WhenU.H
 
C:\Program Files	hemexp\Themexp.org File\SetupInst.exe=>(CAB Sfx r)=>Setup.exe
 Echec de la désinfection
 
C:\Program Files	hemexp\Themexp.org File\SetupInst.exe=>(CAB Sfx r)=>Setup.exe
 Supprimé
 
C:\Program Files	hemexp\Themexp.org File\SetupInst.exe=>(CAB Sfx r)
 Echec de la mise à jour
 
C:\Program Files\Winamp\winampa.exe
 Infecté par: DeepScan:Generic.Mitglied.0E56ED1E
 
C:\Program Files\Winamp\winampa.exe
 Echec de la désinfection
 
C:\Program Files\Winamp\winampa.exe
 Supprimé
 
C:\WINDOWS\qcq.exe
 Infecté par: Trojan.Spy.Goldun.F
 
C:\WINDOWS\qcq.exe
 Echec de la désinfection
 
C:\WINDOWS\qcq.exe
 Supprimé
 
C:\WINDOWS\system32ege2usb.dl$
 Infecté par: Trojan.Spy.Goldun.F
 
C:\WINDOWS\system32ege2usb.dl$
 Echec de la désinfection
 
C:\WINDOWS\system32ege2usb.dl$
 Supprimé
 
D:\Iriver\Updater\Updater.exe
 Infecté par: DeepScan:Generic.Mitglied.0E56ED1E
 
D:\Iriver\Updater\Updater.exe
 Echec de la désinfection
 
D:\Iriver\Updater\Updater.exe
 Supprimé


Merci beaucoup pour votre aide, c'est très apprécié !

philae83 · Answer

ok il y a des logiciels "cracker" là dedans non ? * Télécharge CCleaner. https://www.pcastuces.com/logitheque/ccleaner.htm Installe le dans un répertoire dédié. Décoche pendant l'installation --- les deux cases "Ajouter l'option ... " --- Contrôler les mises à jour --- Ajouter la Barre d'Outils Yahoo! CCleaner * Lance Ccleaner pour un nettoyage complet. ------ * télécharge AVG Anti-Spyware (ewido) https://www.avg.com/en-ww/free-antivirus-download * tu l'installes * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente puis Lance AVG Anti-Spyware Clique sur le bouton Analyse (de la barre d'outils) Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine. Reviens à l'onglet Analyse. Clique sur Analyse complète du système. A la fin du scan, choisis l'option 3 "Appliquer toutes les actions " en bas. Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. Poste le.

Peter6969 · Answer

Salut, voici le rapport d'AVG

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	21:39:29 2007-01-20

 + Résultat de l'analyse:	



C:\Program Files\Mozilla Firefox\extensions\{BEE3E87E-E1C6-4bfe-BE9D-48E84271AB34}\components\whenu_ff.dll -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\ACM.dll -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\Save.exe -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\SaveNowupdate.exe -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\SaveUninst.exe -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\bak -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\ffext.mod -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\save.db -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\save.htm -> Adware.SaveNow : Nettoyé.
C:\Program Files\Save\store.db -> Adware.SaveNow : Nettoyé.
C:\Program Files	hemexp\Themexp.org File\SetupInst.exe -> Adware.SaveNow : Nettoyé.
C:\Documents and Settings\Yvon Et Ruth.PC\Cookies\yvon et ruth@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Yvon Et Ruth_2\Cookies\yvon et ruth_2@adjuggler[2].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\Yvon Et Ruth_2\Cookies\yvon et ruth_2@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.6:C:\Documents and Settings\Yvon Et Ruth_2\Application Data\Mozilla\Firefox\Profiles\p6yt535e.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Yvon Et Ruth.PC\Cookies\yvon et ruth@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.22:C:\Documents and Settings\Administrateur.PC\Application Data\Mozilla\Firefox\Profiles\g696sage.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.23:C:\Documents and Settings\Administrateur.PC\Application Data\Mozilla\Firefox\Profiles\g696sage.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.24:C:\Documents and Settings\Administrateur.PC\Application Data\Mozilla\Firefox\Profiles\g696sage.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.25:C:\Documents and Settings\Administrateur.PC\Application Data\Mozilla\Firefox\Profiles\g696sage.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\WINDOWS\hil.exe -> Trojan.LdPinch.bfp : Nettoyé.


Fin du rapport


Merci encore une fois pour tout !

Peter6969 · Answer

Salut,

Enfin, kaspersky ne me detecte plus de trojan downloader, merci beaucoup pour ton aide.

Cependant, il me demande si je veut, terminate, deny, ou skip un programme nommé system32/svchost.exe
Qu'est ce que c'est ? qu'est ce que je doit faire avec ?

Et voici mon nouveau log de hijack.
Logfile of HijackThis v1.99.1
Scan saved at 10:17:26, on 2007-01-21
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Webshots\Webshots\Webshots.scr
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Yvon Et Ruth.PC\Bureau\Autres\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.rds.ca/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Webshots.lnk = D:\Webshots\Webshots\Launcher.exe
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by111fd.bay111.hotmail.msn.com/activex/HMAtchmt.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0812.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0812.00.dll
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Est-ce un beau log ? Y aurait-il quelque chose a changer ?

Derniere petite question, je n'ai pas encore de firewall. Hier, j'ai voulu installé Zone Alarm mais au début de l'installation, sa me dit toujours que j'ai déja un Zone Alarm d'installé sur mon ordi et que c'est impossible de l'installé. Pourtant, j'ai rechercher partout sur l'ordinateur et je n'ai rien trouvé a propos de ZA. Je sais que c'est important d'avoir un firewall mais la je ne suis pas capable de l'installé. Que faire ??

Merci beaucoup pour repondre a mes nombreuses questions.

philae83 · Answer

Bonjour,

Cependant, il me demande si je veut, terminate, deny, ou skip un programme nommé system32/svchost.exe
Qu'est ce que c'est ? qu'est ce que je doit faire avec ? 

bizarre, c'est un processus légitime

https://www.processlibrary.com/en/directory/a/1/

Derniere petite question, je n'ai pas encore de firewall. Hier, j'ai voulu installé Zone Alarm mais au début de l'installation, sa me dit toujours que j'ai déja un Zone Alarm d'installé sur mon ordi et que c'est impossible de l'installé. Pourtant, j'ai rechercher partout sur l'ordinateur et je n'ai rien trouvé a propos de ZA. Je sais que c'est important d'avoir un firewall mais la je ne suis pas capable de l'installé. Que faire ?? 

oui effectivement, c'est très important d'avoir un firewall. As tu déjà essayé d'installer ZA avant ?
essaye de nettoyer ton pc avec un nettoyeur de registre type JV16 ou regcleaner
sinon prends un autre firewall. Kerio par exemple
securite proteger un ordinateur contre les malwares d internet