Bonjour, J'ai un souci avec un cheval de troie nommé Win32:Bifrose-AAH [Trj] reconnu par avast detecté dans un reportoire de jeu (lineage sur un engine.dll). Je ne suis pas super doué en informatique alors je me repose sur vous. Je vous envoie le rapport. Logfile of HijackThis v1.99.1 Scan saved at 18:01:07, on 10/08/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe D:\Program Files\Winamp\winampa.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\The Cleaner\tca.exe D:\Program Files\The Cleaner\tcm.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\Explorer.EXE D:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE D:\Documents and Settings\Admin.XPSP2-954B2D467\Bureau\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [EPSON Stylus CX3200] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200" O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [tcactive] D:\Program Files\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] D:\Program Files\The Cleaner\tcm.exe O4 - HKCU\..\Run: [BitTorrent] "D:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized O4 - Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/operator/27859021/activex/IPSUploader4.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: EpsonBidirectionalService - Unknown owner - D:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Cheval de troie bifrose

Réponse 21 / 36

MatLion

Last file scanned at least one scanner reported something about: AutoQ_v2.rar (MD5: 094f3ce229708cde4717f63a676bbba4, size: 205255 bytes), detected by:

Scanner Malware name
A-Squared X
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
CPsecure X
Dr.Web X
F-Prot Antivirus X
F-Secure Anti-Virus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
Panda Antivirus X
Rising Antivirus X
Sophos Antivirus X
VirusBuster X
VBA32 Trojan.DownLoader.24700

Réponse 22 / 36

moK´s@ Messages postés 4410 Statut Membre 89

supprime le...

dis moi quoi

@+

Réponse 23 / 36

MatLion

Si je le supprime, il sera re DL automatiquement au prochain full check de L2.

Ca fais 4 fois que je supprime ce fichier, tu penses que je le ressuprime encore ? meme si il va etre re DL ?

Réponse 24 / 36

moK´s@ Messages postés 4410 Statut Membre 89

c´est quoi L2

peux tu me donner le chemin exact de ce fichier

exemple :

F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

@+

Réponse 25 / 36

MatLion

Lineage 2 est un jeux online massivement multijoueur (mmorpg).

E:\InterludeWxp\System

Réponse 26 / 36

moK´s@ Messages postés 4410 Statut Membre 89

tu l´as telechargé ou ce jeu?

je voie pourquoi elle se regénére, le jeux lui meme doit comporter un trojan

le chemin de la dll n´est pas complet...

Réponse 27 / 36

MatLion

Ce jeu cela fais 4 ans que j'y joue, il est cree par une grosse boite (ncsoft), il y a de temps en temps des mises a jour, mais pas dernierement .

Je ne sais pas si le jeu peut lui meme avoir de trojan sans que les master s'en rendent compte.

E:\InterludeWxp\System\engine.dll

Réponse 28 / 36

moK´s@ Messages postés 4410 Statut Membre 89

ok

bon on va essayé comme ca :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

E:\InterludeWxp\System\engine.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

Réponse 29 / 36

MatLion

LoadLibrary failed for E:\InterludeWxp\System\engine.dll
E:\InterludeWxp\System\engine.dll NOT unregistered.
E:\InterludeWxp\System\engine.dll moved successfully.

Created on 08/10/2007 22:36:59

Réponse 30 / 36

moK´s@ Messages postés 4410 Statut Membre 89

ca recommence, il a du se regénérer...

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> https://www.bleepingcomputer.com/download/linux/

- dézippe dans un répertoire dédié tel que C:\Program Files ou crée un dossier que tu nommera C:\Regsearch
- double clique sur RegSearch.exe
- copie colle l'entrée en gras dans la ligne de la zone de recherche:

engine

- Rien dans la ligne "Enter string to exclude from results"
- Clique sur OK
- Après la recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
- Le fichier est sauvegardé dans le même répertoire que celui de RegSearch
- Copie-colle le contenu de la fenêtre dans un post, ici
- Ferme le bloc-notes
- Ferme RegSearch par Cancel.

Réponse 31 / 36

MatLion

J'arrive pas a finir la recherche, il arrete pas de bloquer ce logiciel (pas de reponse)

Réponse 32 / 36

MatLion

J'au du decocher HKEY_LOCAL_MACHINE pour finir lla recherche

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10/08/2007 23:03:09 for strings:
; 'engine'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_USERS

[HKEY_CURRENT_USER\SOFTWARE\ahead\NeroWebEngine]

[HKEY_CURRENT_USER\SOFTWARE\ahead\NeroWebEngine\General]

[HKEY_CURRENT_USER\SOFTWARE\BITSoft\FineOCREngine]

[HKEY_CURRENT_USER\SOFTWARE\BITSoft\FineOCREngine\FINE OBJECTS]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"i"="E:\\InterludeWxp\\System\\engine.dll"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"a"="E:\\InterludeWxp\\System\\engine.dll"

[HKEY_CURRENT_USER\SOFTWARE\ODBC\ODBC.INI\dBASE Files\Engines]

[HKEY_CURRENT_USER\SOFTWARE\ODBC\ODBC.INI\dBASE Files\Engines\Xbase]

[HKEY_CURRENT_USER\SOFTWARE\ODBC\ODBC.INI\Fichiers Excel\Engines]

[HKEY_CURRENT_USER\SOFTWARE\ODBC\ODBC.INI\Fichiers Excel\Engines\Excel]

[HKEY_CURRENT_USER\SOFTWARE\ODBC\ODBC.INI\MS Access Database\Engines]

[HKEY_CURRENT_USER\SOFTWARE\ODBC\ODBC.INI\MS Access Database\Engines\Jet]

; End Of The Log...

Réponse 33 / 36

moK´s@ Messages postés 4410 Statut Membre 89

peut tu le faire en mode sans echec stp, pour essayer.

Réponse 34 / 36

MatLion

Désolé, meme resultat

Réponse 35 / 36

MatLion

Je vais me coucher, un petit formatage pourrait pas resoudre definitivement le souci ?

On reprend demain si tu peux ? :p

En tt cas c vraiment sympa de prendre de ton temps pour t'occuper de nous les amateurs ^^

Encore merci pour tt, je serais la demain matin j'espere ...

Réponse 36 / 36

moK´s@ Messages postés 4410 Statut Membre 89

ok

Sélectionne cette liste :

Citation:
______________________
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\InterludeWxp\System\engine

Files to Delete:
E:\InterludeWxp\System\engine.dll
______________________

--> Clic droit copier

- Ouvre le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus
- Enregistre le fichier sur ton bureau sous le nom remove.txt

- Télécharge The Avenger
- Dézip le contenu de l'archive sur ton bureau et double-clic sur avenger.exe
- Clique sur "Ok"
- Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
- Sélectionne le fichier remove.txt qui est sur ton bureau
- Clique sur le feu vert pour lancer le script
- Clique sur "Oui"
- Accepte de redémarrer ton pc.

Quand le PC a redémarre ouvre le fichier C:\avenger.txt et copie/colle le contenu ici.

@+

Cheval de troie bifrose - Page 2

Discussions similaires

Newsletters