Infecté par des trojan Fermé

Question

Mon ordinateur est completement infesté. Je n'arrive plus a rien faire. J'ai en permanenc des alertes avast qui me disent que mon ordinateur est attaqué par des chevals de troie. Il s'eteient et s'allume tout seul. Que puis-je faire en sachant que mon antivirus avast ne detecte rien. Et quand il me dit que tel fichier est infesté, en le cherchant je ne trouve pas ces fichiers.
Merci d'avance pour votre aide

Regis59 · Answer

Bienvenue sur le forum d’entraide de CommentCaMarche.net 

Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.

Télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
	
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

lyesetsylvie · Answer

Bonsoir,

Ca y est je viens de faire tout ca voici le résultat

Logfile of HijackThis v1.99.1
Scan saved at 21:32:06, on 05/06/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\System32\NVATray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32	nznpca.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\system32\dumprep.exe
C:\DOCUME~1\sylvie\LOCALS~1\Temp\svchots.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\DitExp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\system32undll32.exe
C:\Documents and Settings\sylvie\Application Data\U3\0E11B860B0F2E908\LaunchPad.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: C:\WINDOWS\System32\lxnhe873ejkd.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\lxnhe873ejkd.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe"  /dontopenmycards
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32	nznpca.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Restore Operation] C:\DOCUME~1\sylvie\LOCALS~1\Temp\svchots.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Regis59 · Answer

Re;

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
•	Redémarre ton ordinateur
•	Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
•	A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
•	Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
•	Choisis ton compte.
Déroule la liste des instructions ci-dessous :
•	Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
•	Appuie sur Y pour commencer le processus de nettoyage.
•	Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
•	Appuie sur une touche pour redémarrer le PC.
•	Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
•	Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
•	Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
•	Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
•	Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

A+

Regis59 · Answer

Pas de problemes ;)

Il en reste pas mal...

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : C:\WINDOWS\system32\aocrkiae.exe
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

De même avec:
C:\WINDOWS\system32\olsblgz.exe 

A+

Regis59 · Answer

Prkoi as tu supprimé la connection?

Sinon, ce que tu peux faire, tu les met dans une clé usb, tu le met sur le pc ou tu as la connection et tu m envois ces fichiers, je les analyserais.

a+

lyesetsylvie · Answer

En fait j'avais enlever la connection car c'est quand il est copnnecté qu'il déconne encore plus.

mais ca y est j'ai tout fais.

Voici le résultat pour le fichier C:\WINDOWS\system32\aocrkiae.exe 

Scan taken on 08 Jun 2007 19:24:05 (GMT)  
A-Squared  Found Trojan-Dropper.Win32.Sramler.c  
AntiVir  Found TR/Agent.143360.4  
ArcaVir  Found Trojan.Agnet.Hg  
Avast  Found Win32:Delf-EQM  
AVG Antivirus  Found Generic4.RPN  
BitDefender  Found DeepScan:Generic.Malware.G!SI!!WX!!Bprng.F7C2909C  
ClamAV  Found Trojan.SdBot-5909  
Dr.Web  Found Trojan.MulDrop.6367  
F-Prot Antivirus  Found W32/Dropper.ENP  
F-Secure Anti-Virus  Found Trojan-Dropper.Win32.Sramler.c  
Fortinet  Found PossibleThreat  
Kaspersky Anti-Virus  Found Trojan-Dropper.Win32.Sramler.c  
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found Bck/Eggdrop.T  
Rising Antivirus  Found Backdoor.IRCbot.xca  
VirusBuster  Found Worm.RBot.NRF  
VBA32  Found Trojan.MulDrop.6367  

Last file scanned at least one scanner reported something about: Gates_Resurrection_-_Back_4_More.zip (MD5: 35460e862970ec87295884470f13937e, size: 132669 bytes), detected by:

Scanner  Malware name  
A-Squared  X  
AntiVir  CC/Agent  
ArcaVir  X  
Avast  X  
AVG Antivirus  HackTool.AG  
BitDefender  X  
ClamAV  Flooder.YFlood-141  
Dr.Web  modification of BackDoor.Generic.976  
F-Prot Antivirus  X  
F-Secure Anti-Virus  X  
Fortinet  HackerTool/ProxyCrack  
Kaspersky Anti-Virus  X  
NOD32  a variant of Win32/Flooder.IM.VB.A  
Norman Virus Control  X  
Panda Antivirus  X  
Rising Antivirus  X  
VirusBuster  X  
VBA32  Flooder.VB.1 (paranoid heuristics)  

   
Et le résultat sur le fichier C:\WINDOWS\system32\olsblgz.exe :

A-Squared  Found nothing 
AntiVir  Found WORM/SdBot.41984  
ArcaVir  Found Trojan.Rbot.Itf  
Avast  Found Win32:Ircbot-BJS  
AVG Antivirus  Found IRC/BackDoor.SdBot2.LGB  
BitDefender  Found DeepScan:Generic.Sdbot.6EAC1482  
ClamAV  Found Trojan.Sdbot-3430  
Dr.Web  Found BackDoor.IRC.Sdbot.901  
F-Prot Antivirus  Found W32/Backdoor.XXM  
F-Secure Anti-Virus  Found Backdoor.Win32.Rbot.bnz  
Fortinet  Found W32/RBot.BNZ!tr.bdr  
Kaspersky Anti-Virus  Found Backdoor.Win32.Rbot.bnz  
NOD32  Found Win32/Poebot  
Norman Virus Control  Found W32/SDBot.AMJY  
Panda Antivirus  Found W32/Rxbot.FM.worm  
Rising Antivirus  Found Backdoor.IRCbot.ent  
VirusBuster  Found Worm.RBot.ITF  
VBA32  Found Win32.HLLW.MyBot  


Last file scanned at least one scanner reported something about: noth.txt (MD5: 9b65bf1bfee82959be5b32ba8cf3a6cb, size: 17135 bytes), detected by:

Scanner  Malware name  
A-Squared  X  
AntiVir  X  
ArcaVir  X  
Avast  X  
AVG Antivirus  X  
BitDefender  X  
ClamAV  X  
Dr.Web  X  
F-Prot Antivirus  X  
F-Secure Anti-Virus  Trojan-Downloader.JS.Psyme.gy  
Fortinet  X  
Kaspersky Anti-Virus  Trojan-Downloader.JS.Psyme.gy  
NOD32  X  
Norman Virus Control  X  
Panda Antivirus  X  
Rising Antivirus  X  
VirusBuster  X  
VBA32  X  

J'espere qu'on va y arriver car j'ai l'impression que je vraiment bien virussé ;-)

Regis59 · Answer

Re,

Supprime ceci:
C:\WINDOWS\system32\aocrkiae.exe
C:\WINDOWS\system32\olsblgz.exe 

A+

Regis59 · Answer

oui :)

Regis59 · Answer

Tu peux m analyser C:\WINDOWS\System32	nznpca.exe?

A+

Regis59 · Answer

Supprime ;)

Regis59 · Answer

T'es rapide :)

Execute ceci:
Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe 
-aide en image:(merci à Balltrap34).
 http://pageperso.aol.fr/balltrap34/democleanup.htm

Redemarre ton pc et remet un hijackthis

a+

lyesetsylvie · Answer

Alors maintenant je fais quoi ???

Regis59 · Answer

Salut

Méthode à suivre dans l'ordre... 
---------------------------------------------------------------------------- 
¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite: 

1/

Spybot S&D 1.4 
https://www.safer-networking.org/

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/

Ad-Aware SE 1.06 
https://www.adaware.com/ 
-Une aide:
http://usa.lucretius-ada.com/zcvisitor/8782d344-4821-11ea-83ce-0a2cdf2c6be7?campaignid=0d1dff40-82d7-11e9-9533-0a157bfa6bfc 
- installe le patch français, tu pourras le trouver ici: 
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe 
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
http://pageperso.aol.fr/balltrap34/adawrevid.asf 

3/ AVG Anti-Spyware :

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/ 

4/ Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe 
-aide en image:(merci à Balltrap34).
 http://pageperso.aol.fr/balltrap34/democleanup.htm

---------------------------------------------------------------------------- 
¤Affiche tous les fichiers et dossiers : 
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage 

Coche « afficher les fichiers et dossiers cachés » 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décoche « masquer les extensions dont le type est connu » 
Puis fais «Ok» pour valider les changements. 

Et appliquer !
---------------------------------------------------------------------------- 
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe 
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32	nznpca.exe
O4 - HKCU\..\Run: [Restore Operation] C:\DOCUME~1\sylvie\LOCALS~1\Temp\svchots.exe 
---------------------------------------------------------------------------- 
¤Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
¤Recherche et supprime ceci: 
attention seulement les fichiers  (si présents).

C:\WINDOWS\System32\logon.exe 
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32	nznpca.exe

----------------------------------------------------------------------------
¤ Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Copie/colle le rapport sur le forum.
----------------------------------------------------------------------------
¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
-------------------------------------------------------------------------------------------
¤ Lance Cleanup40 comme sur le tuto fournit au début de la procédure.
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Précise tes soucis s’il en reste.... 

Tiens-moi au courant 
 
A+

Regis59 · Answer

OK

a+

Infecté par des trojan

14 réponses

Discussions similaires

Newsletters