TROJANS (TROJANO + ADWARE)

philinfo Messages postés 5 Date d'inscription   Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Je rencontre un problème de trojan sur mon ordi (protégé par avast (précédent Kaspersky) depuis 3 jours et firewall : Zonealarm

1/ le premier : Win32:\Trojano-1165[trj] visblement supprimé lors de l'analyse de démarrage avast sour windows XP
Chemin du fichier : C:\documents and setting\patou.FRC2800\local settings\temporary internet files\content.IE5\EXYT67KR\ytopsasieknet[1]\[UPX]
ou l'ecran de l'ordi m'indique : supprimé

2/le second fichier C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HbInstIE.dll est infecté par Win 32:Adware-gen [Adw]
ce fichier est un fichier windows, la question est si je veux le supprimer,
1-OUI 2- OUI tout, 3-Non, Echap-Quitter
Merci de m'aider sur la réponse à fournir sans risquer le pire ou dois-je utiliser une autre procédure ?

A+
Philinfo
Configuration: Windows XP
Firefox 2.0.0.9
Zone alarm
Avast depuis 3 jours

9 réponses

  1. Utilisateur anonyme
     
    Bonjour
    Télécharge sur le bureau
    ftp://ftp.commentcamarche.com/download/HJTInstall.exe
    = Clic-droit sur Hijackthis
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = clic droit sur Hijackthis ( en forme de dynamite) ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
    =Double-clic dessus
    = Clic Do a system scan and save the log
    =coller le rapport
    si problème voir l'aide
    [url=https://forums.cnetfrance.fr]Aide hijackthis[/url]
    0
  2. philinfo Messages postés 5 Date d'inscription   Statut Membre
     
    Merci de ta réponse, mais avant de cliquer sur le lien, il faut que je réponde à la question car je n'ai pas la main sur l'ordinateur virusé, il est en analyse sous windows et je dois répondre ?

    Merci de me préciser si le supprime ou echap pour continuer ?

    A+
    Phil
    0
  3. philinfo Messages postés 5 Date d'inscription   Statut Membre
     
    Bon, voila ce que cça me donne Docteur, peut-tu toujours m'aoder malgré l'heure tardive ?

    Merci Phil

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:08:30, on 05/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Outils\System\Ghost2003\GhostStartService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\fxssvc.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
    C:\Program Files\Lexmark X74-X75\lxbbbmon.exe
    C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Outils\System\Ghost2003\GhostStartTrayApp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Documents and Settings\Phil\Bureau\test.exe.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {2796ED96-1F12-45C1-8DE8-DEFEF0EADF9B} - C:\WINDOWS\system32\ddabb.dll
    O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: {36bcdb6b-c410-24a8-74f4-b5a0b172beba} - {abeb271b-0a5b-4f47-8a42-014cb6bdcb63} - C:\WINDOWS\system32\wrpuokkl.dll
    O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
    O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Outils\System\Ghost2003\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [HotbarOE] C:\Program Files\Hotbar\bin\10.0.356.0\OEAddOn.exe
    O4 - HKLM\..\Run: [HotbarSA] "C:\Program Files\Hotbar\bin\10.0.356.0\HotbarSA.exe"
    O4 - HKLM\..\Run: [74d24c46] rundll32.exe "C:\WINDOWS\system32\oycrscay.dll",b
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [Mail.com] C:\Program Files\mail.com\mcalert.exe -auto
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\excel\Office\OSA9.EXE
    O4 - Global Startup: Microsoft Office.lnk.disabled
    O4 - Global Startup: Raccourci vers avpcc.exe.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
    O8 - Extra context menu item: &Download with &DAP - C:\Outils\Internet\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.euro-assurance.fr/object/ScriptX.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/106e35406a5c1fdef320/netzip/RdxIE601_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {7CAA184C-91E7-4E84-8681-32F2A0D68DF1} (Apollon Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Daphne.cab
    O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{846A9676-60DE-47D3-A2DE-1A596CA7E1E8}: NameServer = 80.10.246.2,80.10.246.129
    O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00194BD.dat
    O20 - Winlogon Notify: ddabb - C:\WINDOWS\system32\ddabb.dll
    O20 - Winlogon Notify: jkkjh - C:\WINDOWS\system32\jkkjh.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Outils\Security\Tracks Eraser Pro\autocomp.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: GhostStartService - Symantec Corporation - C:\Outils\System\Ghost2003\GhostStartService.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    pas de souci
    en premier temps infection vundo

    faire ceci

    Télécharge sur le Bureau.
    [url=http://www.atribune.org/ccount/click.php?id=4]vundofix|/url]

    => Double-clic VundoFix.exe.
    => Clic OK
    => Attendre le redemarrage de Vundofix
    => Clic Scan for Vundo
    => Le scan est assez long , à la fin
    => Clic Remove Vundo
    => Puis yes
    => Le Bureau disparaît un moment lors de la suppression des fichiers.
    => Message shutdown
    => clic OK
    => Redémarrage auto
    => copier le rapport qui est dans C:vundofix.txt

    Télécharge sur le bureau
    [url=http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe]virtumundoBeGone[/url]

    => Double clic sur VirtumundoBeGone.exe
    => Clic Continue ==> clic Start
    => Clic Oui
    => A la fin si Vundo est présent , le PC s’éteint et redémarre
    - Si Ecran bleu et message : Erreur fatale .. pas de problème
    => Poster le rapport VBG.TXT qui est sur le bureau
    0
  6. philinfo Messages postés 5 Date d'inscription   Statut Membre
     
    VundoFix V6.5.11

    Checking Java version...

    Java version is 1.5.0.3
    Old versions of java are exploitable and should be removed.

    Scan started at 22:31:18 05/11/2007

    Listing files found while scanning....

    C:\WINDOWS\system32\bbadd.bak1
    C:\WINDOWS\system32\bbadd.bak2
    C:\WINDOWS\system32\bbadd.ini
    C:\WINDOWS\system32\bbadd.ini2
    C:\WINDOWS\system32\bbadd.tmp
    C:\WINDOWS\system32\ddabb.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\bbadd.bak1
    C:\WINDOWS\system32\bbadd.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\bbadd.bak2
    C:\WINDOWS\system32\bbadd.bak2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\bbadd.ini
    C:\WINDOWS\system32\bbadd.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\bbadd.ini2
    C:\WINDOWS\system32\bbadd.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\bbadd.tmp
    C:\WINDOWS\system32\bbadd.tmp Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ddabb.dll
    C:\WINDOWS\system32\ddabb.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Puis

    [11/05/2007, 22:40:36] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Phil\Bureau\VirtumundoBeGone.exe" )
    [11/05/2007, 22:40:42] - Detected System Information:
    [11/05/2007, 22:40:42] - Windows Version: 5.1.2600, Service Pack 2
    [11/05/2007, 22:40:42] - Current Username: Phil (Admin)
    [11/05/2007, 22:40:42] - Windows is in NORMAL mode.
    [11/05/2007, 22:40:42] - Searching for Browser Helper Objects:
    [11/05/2007, 22:40:42] - BHO 1: {2796ED96-1F12-45C1-8DE8-DEFEF0EADF9B} ()
    [11/05/2007, 22:40:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/05/2007, 22:40:42] - Checking for HKLM\...\Winlogon\Notify\ddabb
    [11/05/2007, 22:40:42] - Key not found: HKLM\...\Winlogon\Notify\ddabb, continuing.
    [11/05/2007, 22:40:42] - BHO 2: {2843DAC1-05EF-11D2-95BA-0060083493D6} (DgnWebIE)
    [11/05/2007, 22:40:42] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
    [11/05/2007, 22:40:42] - BHO 4: {abeb271b-0a5b-4f47-8a42-014cb6bdcb63} ()
    [11/05/2007, 22:40:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/05/2007, 22:40:42] - Checking for HKLM\...\Winlogon\Notify\wrpuokkl
    [11/05/2007, 22:40:42] - Key not found: HKLM\...\Winlogon\Notify\wrpuokkl, continuing.
    [11/05/2007, 22:40:42] - Finished Searching Browser Helper Objects
    [11/05/2007, 22:40:42] - Finishing up...
    [11/05/2007, 22:40:42] - Nothing found! Exiting...

    Et voilà, le computer semble ne plus rien dire, c'est super, vraiment je te remercie beaucoup, car c'est la première fois que cela m'arrive et je me voyais déjà à tout reconfigurer.

    Vraiment merci
    phil.sene@wanadoo.fr
    0
  7. Utilisateur anonyme
     
    bon une bonne chose
    ensuite tu fais ceci

    Télécharge:
    http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe AVG-AntiSpyware
    = Installer
    = Le lancer
    = Clic : Mise à jour
    ------
    = Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

    Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
    -------
    = Dans ANALYSE ( en forme de loupe )
    ==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
    ==> Clic : Analyse complète du système
    En fin de scan ( qui est assez long)
    ==> Clic Appliquer toutes les actions <== ceci Très important
    ==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
    -------
    En mode normal
    colle le rapport

    ensuite fait un nouveau rapport hijack
    @+
    0
  8. philinfo Messages postés 5 Date d'inscription   Statut Membre
     
    OK merci de ta réponse, je m'y remettrai mercredi soir prochain car je suis en déplacement demain et qu'il faut aussi dormir un peu, je t'adresserai un nouveau message mercredi ou jeudi,

    Merci beaucoup
    Phil
    0