Sujet Précédent Sujet Suivant

[Virus]Win32:Adware-gen. Hijackthis, svp!!!

Gonzolita -  
 Gonzolita -
Bonjour.

Est-ce que quelqu'un pourrait interpréter cela pour moi?? Virus Win32:Aware-gen dans le sytème. Merci.

Logfile of HijackThis v1.99.1
Scan saved at 13:37:31, on 20/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marine\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prls.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
A voir également:

15 réponses

Réponse 1 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
Bonjour,

* Télécharge LSPfix
http://www.cexx.org/LSPFix.exe

* Lance LSPfix
* Déconnecte-toi d'Internet et ferme toutes les fenêtres d'Internet Explorer.
* Coche la case "I know what I'm doing"
* Sélectionne toutes les instances des dll suivantes (s'il y en a, sinon ferme LSPfix) :

prls.dll

* fait les glisser du panneau de gauche "keep" au panneau de droite "Remove".
Clique sur le bouton "Finish".
(Si elles sont déjà dans le panneau "Remove" alors clique directement sur le bouton "Finish".)

reposte un nouveau rapport hijackhtis
0
Réponse 2 / 15
Gonzolita
 
Merci pour ton aide précieuse. J'ai suivi tes conseils et voici le nouveau rapport hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 21:17:38, on 20/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marine\Bureau\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
0
Réponse 3 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
re
voilà déjà quelque chose de régler, maintenant 
Virus Win32:Aware-gen dans le sytème


c'est ton antivirus qui te le détecte ?
0
Réponse 4 / 15
Gonzolita
 
Petit historique du problème:

Depuis lundi, avast! me poursuit avec des alertes aux virus. J'ai donc décidé de faire un scan et le logiciel m'a indiqué que mon ordinateur était infecté d'un virus (Win32 : Adware-gen). Il m'a proposé de redemarré mon ordi et de faire un scan au démarrage.

Résultat : 5 fichiers infectés. J'en ai mis 2 en quarantaine (ils étaient dans Program files) mais les 3 autres étaient dans Windows/system32. On m'a souvent dis qu'il ne fallait pas touché à cette partie sans l'avis d'un expert, je n'y aie donc pas touché.

De retour à Windows, plus d'alertes mais je décide tout de même de refaire un scan et il me trouve encore un truc (trz72.tmp) que j'ai mis en quarantaine.

J'ai voulu essayer RegCleaner mais lorsque j'ai vu le nombre de trucs qu'il voulait que je supprime, ca m'a fait un peu peur. Je ne sais que faire...

Afin d'en savoir plus, j'ai utilisé Hijackthis.

Alors que plus rien ne semblait perturber mon ordi, aujourd'hui, j'ai utilisé A-Squared a retrouvé le virus.

Voila !

Vu le nouveau rapport, il serait encore là?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
re 
Résultat : 5 fichiers infectés. J'en ai mis 2 en quarantaine (ils étaient dans Program files) mais les 3 autres étaient dans Windows/system32. On m'a souvent dis qu'il ne fallait pas touché à cette partie sans l'avis d'un expert, je n'y aie donc pas touché.


disons qu'il faut se méfier lorsque l'on ne connait pas, mais en général ce sont des malwares qui se logent là. 

De retour à Windows, plus d'alertes mais je décide tout de même de refaire un scan et il me trouve encore un truc (trz72.tmp) que j'ai mis en quarantaine.

J'ai voulu essayer RegCleaner mais lorsque j'ai vu le nombre de trucs qu'il voulait que je supprime, ca m'a fait un peu peur. Je ne sais que faire...


il faut être méfiant avec les nettoyeur de registre, mais en général Regcleaner, je n'ai jamais eu de soucis lorsque je l'ai utilisé. 


Alors que plus rien ne semblait perturber mon ordi, aujourd'hui, j'ai utilisé A-Squared a retrouvé le virus.


quant à A2 je préfère m'en méfier aussi, il génère des faux positifs.
As tu le rapport de A2 ? poste le

0
Réponse 6 / 15
Gonzolita
 
Non, je n'ai pas le rapport de A-squared mais je peux refaire un scan.

"il faut être méfiant avec les nettoyeur de registre, mais en général Regcleaner, je n'ai jamais eu de soucis lorsque je l'ai utilisé. "

Ca veut dire que je peux tout supprimer de ce que me propose Regcleanet?
0
Réponse 7 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
  
Non, je n'ai pas le rapport de A-squared mais je peux refaire un scan.


oui 

"il faut être méfiant avec les nettoyeur de registre, mais en général Regcleaner, je n'ai jamais eu de soucis lorsque je l'ai utilisé. "

Ca veut dire que je peux tout supprimer de ce que me propose Regcleanet?


oui, mais peut être avant tu pourrais télécharger ERUNT pour sauvegarder ta base de registre, au moins tu serais tranquille de ce côté là.

ERUNT :
http://www.zebulon.fr/articles/base-de-registre-3.php#sauve

https://forum.pcastuces.com/default.asp
à la lettre
P ) Installer Erunt et connaitre son fonctionement
0
Réponse 8 / 15
Gonzolita
 
Voici le rapport du scan :

Version - a-squared Free 2.1

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 20/03/2007 22:13:50

C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt:10 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt:11 Détecter: Trace.TrackingCookie
C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt:12 Détecter: Trace.TrackingCookie
C:\WINDOWS\system32\prls.dll Détecter: Adware.Win32.RK.m

Scanné

Fichiers: 44374
Traces: 102657
Cookies: 296
Processus: 27

Trouver

Fichiers: 1
Traces: 0
Cookies: 3
Processus: 0
Clés de Registre: 0

Fin du Scan: 20/03/2007 22:44:25
Temps du Scan: 00:30:35
0
Réponse 9 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
* Assure toi d'avoir accès à tous les fichiers

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver la case : Masquer les fichier protégés du système d'exploitation

Puis - Appliquer

* et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

C:\WINDOWS\system32\prls.dll

* Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système
0
Réponse 10 / 15
Gonzolita
 
Ok mais avant il faut que je utilise ERUNT?
0
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
ERUNT est à installer avant d'utiliser un nettoyeur de registre comme Regcleaner

ce que je te demande juste au dessus, tu peux le faire sans problème
0
Réponse 11 / 15
Gonzolita
 
Ca y est. C'est fait. Qu'est-ce que je peux te donner comme info pour être sur que le virus est bien parti?
0
Réponse 12 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
(désactive ton antivirus le temps du scan)

https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

* tuto en image
https://forum.pcastuces.com/default.asp#haut

à la lettre T

0
Réponse 13 / 15
Gonzolita
 
Voila le rapport de l'analyse Panda :

Incident Statut Analyse

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.advertising.com/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.247realmedia.com/]
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[fl01.ct2.comclick.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.bs.serving-sys.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Marine\Application Data\Mozilla\Firefox\Profiles\lmek22y6.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Hbmediapro No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@adopt.hbmediapro[2].txt
Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@atwola[1].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@errorsafe[1].txt
Spyware:Cookie/Go No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@go[1].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@stats1.reliablestats[2].txt
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@systemdoctor[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@www.errorsafe[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Marine\Cookies\marine@xiti[1].txt
0
Réponse 14 / 15
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
ras ce ne sont que des cookies.
Tu ne rencontres plus de problème ?
0
Réponse 15 / 15
Gonzolita
 
Tout à l'air d'aller. Je referai peut être un scan demain mais là je me sens rassurée.

Merci infiniment pour ton aide. C'es vraiment fantastique de savoir que l'on peut compter sur des personnes pour résoudre nos problèmes.

Encore merci et bonne continuation.

Gonzolita.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses