Sujet Précédent Sujet Suivant

TROJANS (TROJANO + ADWARE)

philinfo Messages postés 5 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Je rencontre un problème de trojan sur mon ordi (protégé par avast (précédent Kaspersky) depuis 3 jours et firewall : Zonealarm

1/ le premier : Win32:\Trojano-1165[trj] visblement supprimé lors de l'analyse de démarrage avast sour windows XP
Chemin du fichier : C:\documents and setting\patou.FRC2800\local settings\temporary internet files\content.IE5\EXYT67KR\ytopsasieknet[1]\[UPX]
ou l'ecran de l'ordi m'indique : supprimé

2/le second fichier C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HbInstIE.dll est infecté par Win 32:Adware-gen [Adw]
ce fichier est un fichier windows, la question est si je veux le supprimer,
1-OUI 2- OUI tout, 3-Non, Echap-Quitter
Merci de m'aider sur la réponse à fournir sans risquer le pire ou dois-je utiliser une autre procédure ?

A+
Philinfo
A voir également:

9 réponses

Réponse 1 / 9
Utilisateur anonyme
 
Bonjour
Télécharge sur le bureau
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
= Clic-droit sur Hijackthis
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= clic droit sur Hijackthis ( en forme de dynamite) ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
[url=https://forums.cnetfrance.fr]Aide hijackthis[/url]
0
Réponse 2 / 9
philinfo Messages postés 5 Statut Membre
 
Merci de ta réponse, mais avant de cliquer sur le lien, il faut que je réponde à la question car je n'ai pas la main sur l'ordinateur virusé, il est en analyse sous windows et je dois répondre ?

Merci de me préciser si le supprime ou echap pour continuer ?

A+
Phil
0
Réponse 3 / 9
Utilisateur anonyme
 
oui supprime
0
Réponse 4 / 9
philinfo Messages postés 5 Statut Membre
 
Bon, voila ce que cça me donne Docteur, peut-tu toujours m'aoder malgré l'heure tardive ?

Merci Phil

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:30, on 05/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Outils\System\Ghost2003\GhostStartService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
C:\Program Files\Lexmark X74-X75\lxbbbmon.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Outils\System\Ghost2003\GhostStartTrayApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Phil\Bureau\test.exe.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2796ED96-1F12-45C1-8DE8-DEFEF0EADF9B} - C:\WINDOWS\system32\ddabb.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: {36bcdb6b-c410-24a8-74f4-b5a0b172beba} - {abeb271b-0a5b-4f47-8a42-014cb6bdcb63} - C:\WINDOWS\system32\wrpuokkl.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Outils\System\Ghost2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HotbarOE] C:\Program Files\Hotbar\bin\10.0.356.0\OEAddOn.exe
O4 - HKLM\..\Run: [HotbarSA] "C:\Program Files\Hotbar\bin\10.0.356.0\HotbarSA.exe"
O4 - HKLM\..\Run: [74d24c46] rundll32.exe "C:\WINDOWS\system32\oycrscay.dll",b
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Mail.com] C:\Program Files\mail.com\mcalert.exe -auto
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\excel\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk.disabled
O4 - Global Startup: Raccourci vers avpcc.exe.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Download with &DAP - C:\Outils\Internet\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.euro-assurance.fr/object/ScriptX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/106e35406a5c1fdef320/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7CAA184C-91E7-4E84-8681-32F2A0D68DF1} (Apollon Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Daphne.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{846A9676-60DE-47D3-A2DE-1A596CA7E1E8}: NameServer = 80.10.246.2,80.10.246.129
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00194BD.dat
O20 - Winlogon Notify: ddabb - C:\WINDOWS\system32\ddabb.dll
O20 - Winlogon Notify: jkkjh - C:\WINDOWS\system32\jkkjh.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Outils\Security\Tracks Eraser Pro\autocomp.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Outils\System\Ghost2003\GhostStartService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Utilisateur anonyme
 
pas de souci
en premier temps infection vundo

faire ceci

Télécharge sur le Bureau.
[url=http://www.atribune.org/ccount/click.php?id=4]vundofix|/url]

=> Double-clic VundoFix.exe.
=> Clic OK
=> Attendre le redemarrage de Vundofix
=> Clic Scan for Vundo
=> Le scan est assez long , à la fin
=> Clic Remove Vundo
=> Puis yes
=> Le Bureau disparaît un moment lors de la suppression des fichiers.
=> Message shutdown
=> clic OK
=> Redémarrage auto
=> copier le rapport qui est dans C:vundofix.txt

Télécharge sur le bureau
[url=http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe]virtumundoBeGone[/url]

=> Double clic sur VirtumundoBeGone.exe
=> Clic Continue ==> clic Start
=> Clic Oui
=> A la fin si Vundo est présent , le PC s’éteint et redémarre
- Si Ecran bleu et message : Erreur fatale .. pas de problème
=> Poster le rapport VBG.TXT qui est sur le bureau
0
Réponse 6 / 9
philinfo Messages postés 5 Statut Membre
 
VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 22:31:18 05/11/2007

Listing files found while scanning....

C:\WINDOWS\system32\bbadd.bak1
C:\WINDOWS\system32\bbadd.bak2
C:\WINDOWS\system32\bbadd.ini
C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\system32\bbadd.tmp
C:\WINDOWS\system32\ddabb.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\bbadd.bak1
C:\WINDOWS\system32\bbadd.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\bbadd.bak2
C:\WINDOWS\system32\bbadd.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\bbadd.ini
C:\WINDOWS\system32\bbadd.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\system32\bbadd.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\bbadd.tmp
C:\WINDOWS\system32\bbadd.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\ddabb.dll
C:\WINDOWS\system32\ddabb.dll Has been deleted!

Performing Repairs to the registry.
Done!

Puis

[11/05/2007, 22:40:36] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Phil\Bureau\VirtumundoBeGone.exe" )
[11/05/2007, 22:40:42] - Detected System Information:
[11/05/2007, 22:40:42] - Windows Version: 5.1.2600, Service Pack 2
[11/05/2007, 22:40:42] - Current Username: Phil (Admin)
[11/05/2007, 22:40:42] - Windows is in NORMAL mode.
[11/05/2007, 22:40:42] - Searching for Browser Helper Objects:
[11/05/2007, 22:40:42] - BHO 1: {2796ED96-1F12-45C1-8DE8-DEFEF0EADF9B} ()
[11/05/2007, 22:40:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/05/2007, 22:40:42] - Checking for HKLM\...\Winlogon\Notify\ddabb
[11/05/2007, 22:40:42] - Key not found: HKLM\...\Winlogon\Notify\ddabb, continuing.
[11/05/2007, 22:40:42] - BHO 2: {2843DAC1-05EF-11D2-95BA-0060083493D6} (DgnWebIE)
[11/05/2007, 22:40:42] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[11/05/2007, 22:40:42] - BHO 4: {abeb271b-0a5b-4f47-8a42-014cb6bdcb63} ()
[11/05/2007, 22:40:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[11/05/2007, 22:40:42] - Checking for HKLM\...\Winlogon\Notify\wrpuokkl
[11/05/2007, 22:40:42] - Key not found: HKLM\...\Winlogon\Notify\wrpuokkl, continuing.
[11/05/2007, 22:40:42] - Finished Searching Browser Helper Objects
[11/05/2007, 22:40:42] - Finishing up...
[11/05/2007, 22:40:42] - Nothing found! Exiting...

Et voilà, le computer semble ne plus rien dire, c'est super, vraiment je te remercie beaucoup, car c'est la première fois que cela m'arrive et je me voyais déjà à tout reconfigurer.

Vraiment merci
phil.sene@wanadoo.fr
0
Réponse 7 / 9
Utilisateur anonyme
 
bon une bonne chose
ensuite tu fais ceci

Télécharge:
http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe AVG-AntiSpyware
= Installer
= Le lancer
= Clic : Mise à jour
------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
= Dans ANALYSE ( en forme de loupe )
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
En mode normal
colle le rapport

ensuite fait un nouveau rapport hijack
@+
0
Réponse 8 / 9
philinfo Messages postés 5 Statut Membre
 
OK merci de ta réponse, je m'y remettrai mercredi soir prochain car je suis en déplacement demain et qu'il faut aussi dormir un peu, je t'adresserai un nouveau message mercredi ou jeudi,

Merci beaucoup
Phil
0
Réponse 9 / 9
Utilisateur anonyme
 
@+ ;-)
0

Discussions similaires

adware.pokki
SuperFun -
SuperFun -

9 réponses
Comment supprimer pokki
cathykiki17 -
DianeA1 -

24 réponses
Win32:Adware-gen [Adw]
nico -
nico -

98 réponses
desinstaller pokki
Bowze -
Bowze -

2 réponses
Adware.Elex.ShrtCln : impossible à retirer
jackloup -
jayc -

8 réponses