[trojan] Win32 Ranky FZ (l'enlever ?)
Résolu
Sinai01
Messages postés
58
Date d'inscription
Statut
Membre
Dernière intervention
-
lulu -
lulu -
Bonjour à tous, et merci d'avance aux braves qui auront le courage d'aider une patate en informatique (moi, donc)
Avast a detecté Le trojan Win32:Ranky-FZ.
J'ai vu dans plusieurs posts qu'il fallait faire un rapport HijackThis, ce que j'ai donc fait, et je le poste ici.
A partir de là, je suis perdue, et j'ai serieusement besoin d'aide. N'hesitez pas à me dire des mots simples, hein ! ;)
Mon ordi est très lent, les programmes offices sont quasiment inutilisable (pas de réponse, lenteur exessive), etc...
Je suis sous XP Pro et navigue avec Firefox.
Je ne sais pas s'il y a besoin d'autres infos ?
Voici le rapport HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 16:28:21, on 19/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\avgav.exe
C:\WINDOWS\System32\irdvxc.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\dwcp.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svcchosst.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\fthqppmz.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Documents and Settings\Anna\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fthqppmz.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{10ABE049-D9E4-4FED-8BF6-B251F82AD17A}: NameServer = 86.64.145.141 84.103.237.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2863A8-F6E7-412E-A3A5-395D7B05CD64}: NameServer = 80.118.192.112,80.118.196.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{10ABE049-D9E4-4FED-8BF6-B251F82AD17A}: NameServer = 86.64.145.141 84.103.237.141
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: avgav.exe (AVG) - Unknown owner - C:\WINDOWS\avgav.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe
Avast a detecté Le trojan Win32:Ranky-FZ.
J'ai vu dans plusieurs posts qu'il fallait faire un rapport HijackThis, ce que j'ai donc fait, et je le poste ici.
A partir de là, je suis perdue, et j'ai serieusement besoin d'aide. N'hesitez pas à me dire des mots simples, hein ! ;)
Mon ordi est très lent, les programmes offices sont quasiment inutilisable (pas de réponse, lenteur exessive), etc...
Je suis sous XP Pro et navigue avec Firefox.
Je ne sais pas s'il y a besoin d'autres infos ?
Voici le rapport HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 16:28:21, on 19/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\avgav.exe
C:\WINDOWS\System32\irdvxc.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\dwcp.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svcchosst.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\fthqppmz.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Documents and Settings\Anna\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\fthqppmz.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{10ABE049-D9E4-4FED-8BF6-B251F82AD17A}: NameServer = 86.64.145.141 84.103.237.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2863A8-F6E7-412E-A3A5-395D7B05CD64}: NameServer = 80.118.192.112,80.118.196.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{10ABE049-D9E4-4FED-8BF6-B251F82AD17A}: NameServer = 86.64.145.141 84.103.237.141
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: avgav.exe (AVG) - Unknown owner - C:\WINDOWS\avgav.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe
A voir également:
- [trojan] Win32 Ranky FZ (l'enlever ?)
- Enlever pub youtube - Accueil - Streaming
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Comment enlever une page sur word - Guide
- Trojan al11 ✓ - Forum Virus
- Enlever mode sécurisé samsung - Guide
25 réponses
C'est fait !
Bon, j'ai vraiment la poisse, tout allait bien et là Avast me signale Win32:SdBot-gen44[trj]
(dans C:\WINDOWS\System32\wmsv.exe[ASProtect] )
Je l'ai mis en quarantaine pour l'instant.
qu'en penses-tu ?
J'ai aussi un soucis qui persite (mais peut-être n'est-il pas lié) : quand je ferme la session ou change d'utilisateur, je ne peux plus ouvrir la session, mon mot de passe n'est pas reconnu. Je suis obligée de redemarrer, et là je peux ouvrir la session sans mot de passe.
J'ai essayé d'aller dans "comptes utilisateurs" du panneau de configuration, mais je ne peut pas y entrer.
Je pensais que c'était peut-être lié car il me semble que ce proibleme est apparu à peu près en même temps que la detection du trojan pour lequel j'ai ouvert ce post.
Bon, j'ai vraiment la poisse, tout allait bien et là Avast me signale Win32:SdBot-gen44[trj]
(dans C:\WINDOWS\System32\wmsv.exe[ASProtect] )
Je l'ai mis en quarantaine pour l'instant.
qu'en penses-tu ?
J'ai aussi un soucis qui persite (mais peut-être n'est-il pas lié) : quand je ferme la session ou change d'utilisateur, je ne peux plus ouvrir la session, mon mot de passe n'est pas reconnu. Je suis obligée de redemarrer, et là je peux ouvrir la session sans mot de passe.
J'ai essayé d'aller dans "comptes utilisateurs" du panneau de configuration, mais je ne peut pas y entrer.
Je pensais que c'était peut-être lié car il me semble que ce proibleme est apparu à peu près en même temps que la detection du trojan pour lequel j'ai ouvert ce post.
qu'en penses-tu ?
Je pense qu'il serait temps de mettre un parefeu sur ton pc déjà....
il en existe des gratuits dépêche toi de le faire.
J'ai aussi un soucis qui persite (mais peut-être n'est-il pas lié) : quand je ferme la session ou change d'utilisateur, je ne peux plus ouvrir la session, mon mot de passe n'est pas reconnu. Je suis obligée de redemarrer, et là je peux ouvrir la session sans mot de passe. J'ai essayé d'aller dans "comptes utilisateurs" du panneau de configuration, mais je ne peut pas y entrer. Je pensais que c'était peut-être lié car il me semble que ce proibleme est apparu à peu près en même temps que la detection du trojan pour lequel j'ai ouvert ce post.
je n'ai aucune idée....
Oui, je suis entrain d'installer zone alarm, et je vais transferer mes dossier de la session administrateur vers une autre (oui je sais, j'ai été assez stupide pour utiliser ma session administrateur jusqu'à maintenant...)
Bon, si la mise en quarantaine a suffit a neutraliser le nouveau, tant mieux !
Merci mille fois pour ton aide, ta clarté, ta patience, et le temps que tu y as passé !
Bon, si la mise en quarantaine a suffit a neutraliser le nouveau, tant mieux !
Merci mille fois pour ton aide, ta clarté, ta patience, et le temps que tu y as passé !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question