Sujet Précédent Sujet Suivant

Aide Résoudre trojan wsnpoem infection

Fermé
Hmzic - 27 nov. 2007 à 01:59
 F3ckB9LL - 10 déc. 2007 à 15:39
Bonjour à tous,

Je sollicite votre experience et expertise pour trouver une solution a un (ou plusieurs) trojan qui a infecté mon ordi ce WE.

Je vais vous décrire comment je l'ai découvert et ce que j'ai essayé de faire pour l'eliminer (sans succes pour l'instant c pour ca que je vous ecrit lol).

Config: Win XP SP2; antivirus Avast; Firewall: Kerio

Symptomes: internet explorer ouvre des fenetres de partout, avast scan des mails entrant/sortant en continu, l'ordi bug et redémare en disant qu'il y a trop d'erreurs.

Voici donc le résumé des actions que j'ai faite jusqu'a présent:

1/ Avast me détecte un trojan
2/ scan immédiat avec avast sans succes
3/ Scan complet avec Ad Aware. Il supprime certain fichiers mais n'arrive pas a enlever
C:\Windows\system32\wsnpoem\audio.dll
C:\Windows\system32\wsnpoem\video.dll
Statut: echec a supprimer ces fichiers meme apres rebootage
4/Re scan avec Adaware en mode sans echec sans résultat
5/Scan avec CCleaner. Suppression de certains fichiers et reparation du registre ce qui améliore la rapidité mais le malware est tjrs la.
6/Scan avec Spybot search & destroy. Il trouve les pb relatifs aux fichiers suivants (virtumonde, Win32.Small.kj, Win32.Agent.pz). Il résould ces problèmes mais parciellement car le malware est tjrs la.
7/Je télécharge et fais tourner SDFix en mode sans echec. Grande amélioration: avast ne scan plus d'email en continu et internet explorer semble plus stable. l'ordi ne bug plus.
Le probleme est que qd je vais sur des sites comme You Tube ils me disent que mon ordi est infecté. Donc le pb n'est que parciellement résolu.
8/ Je refais un scan avec SPybot. Il me trouve d'autres fichiers infectés que je fais résoudre.
9/ Je revais sur le net. Les sites me disent que je suis tjrs infecté.
10/ Je ne sais plus trop quoi faire. J'ai une petite idée de fichiers un peu bizarre qui se lance au démarrage (que je vois avec CCleaner) mais je ne sais pas si c'est safe de les supprimer.
11/ Je fais un scan avec HijackThis et je le poste ici pour avancer dans ma lutte

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:46:51, on 26/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {4E6B9379-8AD8-4088-B14A-2F14B811AE61} - C:\WINDOWS\system32\geebc.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C1C6282B-09A4-4A2D-855F-73BDEFC6AF6D} - (no file)
O2 - BHO: {cf383320-a471-0fd9-fe44-307e091762ac} - {ca267190-e703-44ef-9df0-174a023383fc} - C:\WINDOWS\system32\tssshijh.dll
O2 - BHO: (no name) - {CDEFFD4C-B15D-4C79-8500-0ED4CF6AC68B} - C:\WINDOWS\system32\opnlmnk.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [d8ff7115] rundll32.exe "C:\WINDOWS\system32\bymxnqtu.dll",b
O4 - HKLM\..\Run: [BMdbcc4289] Rundll32.exe "C:\WINDOWS\system32\lrhoyjic.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: opnlmnk - C:\WINDOWS\SYSTEM32\opnlmnk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
A voir également:

11 réponses

Réponse 1 / 11
vlinoa13
27 nov. 2007 à 10:05
Salut,
J'ai moi aussi eu un problème de Trojan, je sais pas si c'est le même mais tu peux utiliser MSNFix, cherche sur le net tu le trouveras. On m'a aussi dit que Avast ne pouvait rien faire et j'ai trouver Antivir. J'ai par la suite utilisé CCleaner pour tout nettoyer. Essaye déjà ça. Je pense que tu devrais y arriver.
0
Réponse 2 / 11
salama
27 nov. 2007 à 10:09
Bonjour, mon problème est avec le PSW.X-Vir trojan il a afecter mon PC et je n'arrive pas a me debarasser de lui SVP aidez moi l'anti virus Avas n'a rien trouver mais un message de Security Alert :Spyware found est toujours dans mon écran
0
Réponse 3 / 11
vlinoa13
27 nov. 2007 à 10:52
salut,
Je ne sais vraiment pas si c'était le même trojan mais essaye MSNFix. Moi, après j'ai pris Antivir, un antivirus apparemment meilleur que Avast, j'ai fait un scan. J'ai fait un autre scan avec Avast et j'ai terminé avec CCleaner. Essaye de faire tout ça, ça prends du temps mais apparemment je me suis débarassée de tout. Fais ça et après dis moi si tu l'as toujours. Bon courage.
0
Réponse 4 / 11
hmzic Messages postés 5 Date d'inscription mardi 27 novembre 2007 Statut Membre Dernière intervention 4 juillet 2010
28 nov. 2007 à 00:06
Salut, vlinoa

Ok, j'essaye MSNfix.

J'ai aussi fais tourné Regcleaner ce qui m'a réparé qq files.

Je vais aussi mettre Antivir. Bonne Idée. On m'a aussi dit qu'il était meilleur qu'Avast pour les malwares apparement.

Quelqu'un pourrai t'il interpréter mon rapport d'Hijackthis? (voir mon premier message)

Je vous tiens au jus
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
vlinoa13
28 nov. 2007 à 10:21
Salut hmzic,
Voilà fait ça et après faudra voir par contre je ne suis pas du tout en mesure d'interpréter ton rapport mais si tu fais tout ça d'abord après tu referas un scan avec Hijackthis et tu verras si tu as encore des problèmes.
Bon courage à bientôt.
0
Réponse 6 / 11
hmzic Messages postés 5 Date d'inscription mardi 27 novembre 2007 Statut Membre Dernière intervention 4 juillet 2010
28 nov. 2007 à 15:41
Salut,

J'ai fait MSNfix et ca n'a pas resolu mon trojan.
J'ai apres installe Antivir a la place d'avast en mode sans echec. Il m'a trouve pas mal de truc qu' avast laissait passe mais il y a certaind .dll qu' il n'arrive pas a supprimer meme apres rebootage.

Donc j'ai toujours les memes symptomes: l'ordi est tres lent et internet explorer n'arrete pas d'ouvrir des fenetres publicitaire meme si je ne l'utilise pas.

Je vais refaire un scan avec antivir et apres je posterai mon nouveau rapport hijackthis ici.

Toute idee est la bienvenue.
0
Réponse 7 / 11
vlinoa13
28 nov. 2007 à 16:19
Salut,
Moi aussi j'avais des fichiers .dll et CCleaner s'en était occupé alors tu devrais peut être essayer et grâce à ça mon pc rame moins car il a bien tout nettoyé et tout.
0
Réponse 8 / 11
hmzic Messages postés 5 Date d'inscription mardi 27 novembre 2007 Statut Membre Dernière intervention 4 juillet 2010
29 nov. 2007 à 23:32
salut,

Bon ca y est je crois que je vois enfin le jour.

Ccleaner n'as pas pu me supprimer mes .ddl.

Finalement j'ai utiliser avenger. Rechercher le post sur ce forum "aide virus geebc" et vous trouverer.
Donc avenger (en manuel) m'as vire ces fichus .dll

Apres j'ai utiliser AVG antispyware qui est d'ailleurs bien mieux que Ad aware aue j'utilisais jusqu'a present.
J'ai fait un scan avec AVG en mode sans echec ce qui ma supprimer des cookies trackeuses.

Je pense aue le plus gros est passe mais je ne sais pas si je suis compretement desinfecte.

En tout cas Antivir ne me detecte plus toule temps des fichiers .dll infectes.
Internet Explorer ne s'ouvre plus a tout le temps meme si j'utilise Firefox.

Donc c'est plutot bon signe. A savoir si il reste encore des infections, mystere.

Je poste un nouveau rapport hijackthis des que je suis sur mon pC.

A tout,
0
Réponse 9 / 11
vinh-xuan
3 déc. 2007 à 13:56
J'ai le même problème que hmzic
Pas encore résolu mais j'y travail
Je continuerai à suivre ce post.
0
Réponse 10 / 11
hmzic Messages postés 5 Date d'inscription mardi 27 novembre 2007 Statut Membre Dernière intervention 4 juillet 2010
6 déc. 2007 à 03:19
salut vinh-xuan,

Après avoir trouver les fichiers .dll infectés, je les ai supprimé manuellement avec avenger (voir le post 8 pour comment le trouver).
Les dll étant supprimé, j'ai fait un scan complet avec AVG et Antivir. Ils m'ont et me trouve tjrs des cookies traceurs mais en tout cas ca va beaucoup mieux. Les trojan ont été supprimé c'est sur.

Bonne chance à toi
0
Réponse 11 / 11
F3ckB9LL
10 déc. 2007 à 15:39
BON MOI TOUT EST OK avec SDfix, j'avait cette sale béte : http://vil.nai.com/vil/content/v_133301.htm

Mercii à tous


courage :)
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses