Sujet Précédent Sujet Suivant

Trojan-gen win 32

Fermé
Polo - 18 févr. 2007 à 06:29
 joali - 26 mars 2007 à 23:45
Au secours,
Mon PC est infecté par un virus. Avast et Viruscan m'en ont averti et m'ont placé certains fichiers en quarantaine. J'en ai supprimé (je sais pas si j'ai bien fait). J'ai vu sur pas mal de posts que les personnes victime de virus procede à des scan highjackthis. Je ne sais pas ce que c'est et encore moins comment déchiffrer les rapports mais j'ai fait ce scan et je voulais savoir ce que les connaisseurs de ce forum pourrait en tirer...
Toutes vos solutions seront les bienvenues.

Voici le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 00:12:33, on 18/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\2D412CE5.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Mouse Driver\mousedriver.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Mimault\LOCALS~1\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cnnine.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cnnine.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_070212.dll,userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: cnwin Class - {EC497BD8-460F-44F0-B2A4-8C2B2198035B} - C:\WINDOWS\system32\cnwin.dll
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SANSUNMouse ] C:\Program Files\Mouse Driver\mousedriver.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\drivers\ttp.exe] C:\WINDOWS\system32\drivers\ttp.exe
O4 - HKLM\..\Run: [sdafdsafds] C:\WINDOWS\temp\162.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [sman_f] %systemroot%\system32\rundll32.exe %systemroot%\system32\sman_f.dll,Run
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: Alexa Web Search - http://client.alexa.com/holiday/script/actions/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Get Alexa Data - http://client.alexa.com/holiday/script/actions/sitedata.htm
O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
O8 - Extra context menu item: See Related Links - http://client.alexa.com/holiday/script/actions/related.htm
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dsp.reg03.rtss.qc.ca
O17 - HKLM\Software\..\Telephony: DomainName = dsp.reg03.rtss.qc.ca
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dsp.reg03.rtss.qc.ca
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = dsp.reg03.rtss.qc.ca
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cryptimg - C:\WINDOWS\SYSTEM32\cryptimg.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000327 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Core Service for Windows Message (WinMessagePool) - Unknown owner - C:\Program Files\dataserver.exe

Merci de m'aider !
A voir également:

5 réponses

Réponse 1 / 5
Polo
18 févr. 2007 à 06:42
Une petite info en plus : Viruscan me trouve 2 fichiers (qu'avast ne trouve pas) infecté dans windows/system32 : AlxRes.dll et AlxTB1.dll
détecté en tant que : Ardware-Alexa
Type de détection : Programme
Etat : Aucune action appliquée
0
Réponse 2 / 5
JOALI
12 mars 2007 à 10:43
J'ai le même problème que toi.
Moi c'est venu après que j'ai utilisé ppstream et sopcast.
Ma page d'accueuil internet est à chaque fois un truc en chinois. :
cnnine.com
c'est très chiant, si tu as une solution dit la moi.
Moi j'ai pas encore trouvé
0
polo
12 mars 2007 à 14:25
exactement, moi aussi c en utilisant sopcast que g chopé ce truc. A chaque fois que je redemarrai mon PC, Internet explorer s'ouvrait automatiquement et voulait me connecter a un site chinois.
Je suis desolé g pas trouvé de solution. J'ai utilisé un anti-spy ou je ne sait quoi bref tjs est-il que g du supprimé des clés de registres qui fallait pas je crois donc du coup j'ai reformaté mon disque et tou ré-installé.
C'est peut etre la galere mais a chaque fois que je chope un virus, je reformate... c'est la seule solution que g trouvé contre la plupart des chevaux de troie parce que mes anti-virus etait tjs incapable de neutraliser ces trucs la...
La seule bonne parade contre ces trucs la c'est un pare feu et surtout l'utilisation de Mozilla Firefox a la place de Internet explorer avec ca tu minimise bien tes chances de choper des saloperies parce que une fois qu'elles sont sur ton PC...
Ce que je peut donc te conseiller c un reformatage. Pour tes données perso essaye de les sauvegarder sur un disque dur externe ou une clé ou ce que tu veux. De toute facon Le virvus il se propage en generale que dans les fichiers de windows. Le truc mieux c'est si tu as une partition de ton disque avec d'un coté windows et de l'autre tes données. Comme ca t'aura juste a reformater la partition ou il y a windows.
Bon courage
0
Réponse 3 / 5
BiB
16 mars 2007 à 11:26
meme pb que vous avec TVants , en voulant voir des matchs sur des chaines chinoises.
J'ai peur qu'il n'y ait pas d'autres solutions que formater le disque dur.
J'ai essayé un peu tous les antispyaware existant.
Ca m'enlève la saloperie, mais au rédemarrage de l'ordi , ça revient
AVG antyspyware m'a trouvé un truc méchant
logger.agent.pn, mais il n'arrive pas l'enlever.

Je cherche tjs (aider par des potes informaticiens), si je trouve je vous fais signe.
Je n'ai trouvé aucune solution sur aucun forum, mais ce pb commence a être évoqué.
0
Réponse 4 / 5
joali
22 mars 2007 à 21:49
bon ben pour le moment rien d'autre que le formatage ?
ben tant pis mais bon comme tu dit j'ai une partition windows et une autre pour les données et les trucs vraiment importants sur disque dur externe donc pas de problème. Ce qui fait chier c'est de réinstaller tous les programmes...
Si je trouve une autre solution je vous fait signe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
joali
26 mars 2007 à 23:45
Bon ben jcroi que je l'ai eu !

en faisant un scan simultané avec AVG anti virus, AVG antispyware, Norton antivirus corporate edition, AD aware et Spybot search and destroy. Puis en supprimant tout les fichiers suspect qu'ils trouvent (pas de quarantaine). Puis en supprimant tout les programmes suspect qui se lance au démarrage (dans le registre "RUN" ou avec AVG antispyware).

Tout ça fait fait bien sur avec les dernières mises à jour et en débranchant (physiquement) internet. Voilà

Ps: AVG antispyware est pas mal alors autant le laisser tourner en permanence avec son bouclier résident.
Sinon pensez à enlever les exceptionde pare feu pour PPstrea et autres Sopcast, TVants...
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses