Win32:Small-ERH (trj)

abelena Messages postés 4 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
GData m'a trouvé deux fichiers infectés, un dans C:\Program Files Wanadoo et l'autre dans C:\System Volume Information\restore, le virus est Win32:Small-ERH(trj), GData n'arrive pas à me les désinfecter,étant donné qu'ils sont en quarantaine que puis je faire maintenant pour m'en débarrasser??? Merci pour votre aide
Configuration: Windows XP
Firefox 2.0.0.3

40 réponses

  • 1
  • 2
Résumé de la discussion

Des signaux de GData indiquent deux fichiers infectés, Win32:Small-ERH(trj), situés dans C:\Program Files Wanadoo et C:\System Volume Information\restore, en quarantaine et non désinfectables sur Windows XP. Plusieurs réponses recommandent d identifier et supprimer les éléments de démarrage malveillants via des outils comme jv16 PowerTools pour retirer des entrées liées à uvnx ou newset, puis de relancer un nettoyage antivirus. En parallèle, certains évoquent l impossibilité d accéder au dossier restore et l intérêt d une vérification globale avec CCleaner, et signalent que des logs (HijackThis) peuvent être incomplets ou ignorés, nécessitant des rapports détaillés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    fais tout ce qui est demandé ici :
    virus methode preliminaire de desinfection version fr

    @+
    0
  2. randal
     
    J'ai egalement trouvé ce virus ce soir sur le repertoire wanadoo dans le fichier diagGPRSRTC.exe puis dans les fichiers de retaure.

    Pour ma part, j'utilise avast (gratuit sur www.avast.com).
    J'ai effectué un scan complet et supprimé le fichier et le virus.
    Je n'ai pas de souci puisque je t'écris apres cela.
    Bon courage
    0
  3. abelena
     
    je vais essayer avec les differents logiciels que l'ont m'a indiqué, juste une ptite question bete, si je les supprime carrement est ce que ca affectera le fonctionnement du PC
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu n'auras pas accès à celui qui est dans Volume Information\restore.

    Pour l'autre, je n'en sais rien.

    En plus, une petite vérification globale de l'ordi ne peut pas faire de mal.

    D'autant plus que le nettoyage de ccleaner est une nécessité.
    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. abelena
     
    merci pour tes conseils, le seul probleme que j'ai c'est que je suis en bas débit car je suis en fin de ligne, et ca va me prendre du temps à télécharger tous les logiciels, hier j'ai mis plus d'une heure à télécharger a-squared guard, mais bon faut le faire, sinon est ce que je dois mettre les rapports sur le forum après??Merci
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    laisse tomber le scan on line de Bit defender .

    Poste AVG et Hijackthis.

    @+
    0
  8. abelena Messages postés 4 Statut Membre
     
    j'avais déja fait un scan avec bitdefender y'a quelque temps, ca va, ca n'avait pas pris enormément de temps c'est plus les telechargements qui sont longs, je ferais quand tout ce que tu m'avais dit plus haut je crois que demain sera une longue journée mais bon si je viens à bout de ses deux trojans je serais contente, merci encore!!
    0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    celui de Volume Information\restore partira sans aucun problème. Il est inoffensdif tant que tu n'utilises pas la restauration système.

    On le supprimera à la fin.

    Le problème, c'est l'autre. Et d'éventuels inconnus.

    @+
    0
  10. abelena
     
    voici le rapport AVG anti-spyware et de hijackthis---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 12:51:08 06/04/2007

    + Résultat de l'analyse:

    HKLM\SOFTWARE\Gator.com -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\GInternet -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\GInternet\Proxy -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Gator -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Gator\dyn -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Gator\stat -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\Bundle -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\Bundle\chk -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\Bundle\dl -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\OemResDll -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\OemResDll\chk -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\OemResDll\dl -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\SilentSetup -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\SilentSetup\chk -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\SilentSetup\dl -> Adware.Gator : Ignoré.
    HKLM\SOFTWARE\Gator.com\Trickler\Files\TricklerInf -> Adware.Gator : Ignoré.

    Fin du rapport

    Logfile of HijackThis v1.99.1
    Scan saved at 18:04:49, on 06/04/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe
    C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
    C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\Wanadoo\taskbaricon.exe
    C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe
    C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:7180;majkit1.orange.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA InternetSecurity\Webfilter\AvkWebIE.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA InternetSecurity\Webfilter\AvkWebIE.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
    O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA InternetSecurity\AVKTray\AVKTray.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Booster Orange.lnk = C:\Program Files\Booster Wanadoo\wanadoo_booster.exe
    O4 - Global Startup: G DATA Firewall Tray.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Afficher l'image non compressée - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/227
    O8 - Extra context menu item: Afficher toutes les images non compressées - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/250
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O11 - Options group: [INTERNATIONAL] International*
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3EEC6053-CA16-452D-BB14-DE64A4B5F003}: NameServer = 80.10.246.5 80.10.246.136
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
    O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA InternetSecurity\AVK\AVKService.exe
    O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA InternetSecurity\AVK\AVKWCtl.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Program Files\G DATA InternetSecurity\Firewall\GDFwSvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

    voilà j'attends vos conseils, merci
    0
  11. abelena
     
    pour hijackthis, j'ai mis ce qui m'a trouvé dans" ignorer", est ce bien ou pas??Merci pour la réponse
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    non, our AVG (et non hijackthis), il faut régler sur "supprimer".

    Analyse, paramètres, actions recommandée. Tu choisis supprimmer.

    Tu lances le scan. En fin de scan, tu fais 'appliquer toutes les actions recommandées'.

    Tu postes le log.
    @+
    0
  13. abelena
     
    je viens de refaire un scan avec AVG en faisant ce que tu m'a indiqué, il me dit qu'il n'y a rien à signaler,dans le scan d'avant il me disait qu'il avait trouver 18 malwares,ils ne sont pas en quarantaine et je n'ai rien supprimer, ou sont-ils? je n'en sais rien
    0
  14. abelena
     
    Par contre j'ai trouvé ceci sur un autre forum, avec le meme probleme que moi, serait une solution pour s'en débarrasser??:

    "J'ai constaté que ce virus fonctionne en deux temps :
    1. Au démarrage de Windows, le fichier uvnx.exe installe le fichier newset.exe en windows\system32.
    2. Ton antivirus détecte newset.exe et le met en quarantaine.

    Il faut donc supprimer la procédure d'installation de newset.exe.
    Tu peux installer jv16 Powertools :
    https://www.01net.com/404/
    Tu le lances et tu choisis "registry tools"; tu cliques sur "starting programs",
    ce qui affiche la liste des programmes
    lancés au démarrage de windows. Tu localises le fichier uvnx.exe (j'espère qu'il a le même nom chez toi).
    Tu cliques sur la
    ligne et tu pousses sur la touche "delete".
    Tu sors de jv16. A partir de ce moment, newset.exe (j'espère aussi que le nom est le même chez toi) ne sera plus créé à
    chaque démarrage de Windows. Tu lances ton antivirus pour nettoyer ton disque et tu devrais être débarrassée du virus."
    0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    recherche si tu as ces 2 fichiers sur ton ordi (uvnx.exe et newset.exe)

    fais le scan bit defender on line.

    @+
    0
  16. abelena
     
    je n'ai pas ces deux fichiers, donc si j'ai compris je n'ai pas faire la manip qui est plus haut?
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    je n'en vois pas bien l'intérêt.

    @+
    0
  18. abelena
     
    je veux faire le scan avec bit defender mais il me demande de telech arger internet explorer 4 ou plus, j'utilise actuellement mozilla mais j'ai toujours internet explorer7, quand j'essaye de repasser par lui il me dit que je ne suis pas connecté à internet ou que le site rencontre des problemes, dois je retelecharger une version d'explorer?encore merci de m'accorder du temps
    0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    IE version 7 est la dernière version.

    tes problèmes sont spécifiques au site de bit defender ou c'est vrai pour tous les sites ?

    @+
    0
  20. abelena
     
    c'est pareil pour tout les sites, il ne veut rien savoir, j'ai meme regardé dans mes "options internet" rien, je comprends pas, bon je retélécharge explorer et je fais ce scan
    0
  21. abelena
     
    je n'y arrive pas quand j'essaye de telecharger il me dit qu'il y a déjà une version d'explorer, et je n'arrive toujours pas le faire remarcher , n'y a t-il pas un autre scan en ligne aussi bon que bitdefender?
    0
  • 1
  • 2