Trojan à devenir dingue !

cyr75 Messages postés 11 Statut Membre -  
 booddha -
Bonjour,

J'envoie cet appel à l'aide car ça fait deux jours que je suis sur un pc que je viens de récupérer et je suis envahi apparemment de trojan. J'ai suivi bcp de conseils sur ce site et ai télécharger bcd de scan et d'antivirus (msn fix, SDFix, j'ai réinstaller Antivir à la place d'avast qui me trouve bien 14 attaque de Trojan malgré tout ce que j'ai fait !....
Voici donc le dernier rapport Hijackthis . Quelqun pourrait il me donner un petit coup de main ?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:33, on 27/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Documents and Settings\Propriétaire\Bureau\ELIBAGLA.06032008.EXE
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Drmupgds] C:\Program Files\Drmupgds\Drmupgds.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

--
End of file - 3851 bytes
Configuration: Windows XP
Firefox 2.0.0.12

120 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Un PC Windows XP récemment récupéré est confronté à une infestation de trojans et de logiciels malveillants, documentée par un rapport HijackThis détaillant les processus et les services suspects. Des recommandations courantes incluent la désactivation de la restauration du système, l'exécution d'outils de nettoyage spécifiques comme VundoFix et VirtumundoBeGone, et l'analyse du fichier HijackThis pour identifier les éléments indésirables. Pour des précisions, certains intervenants proposent des bascules et modifications du démarrage et des clés de registre via HijackThis, puis des scans en mode sans échec et des redémarrages répétés. D'autres réponses suggèrent d'installer et mettre à jour des outils antivirus et antispyware, puis de vérifier les services et exécutables suspects comme ceux liés à Ad-Aware, Avira ou Virtual CD.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. booddha
     
    Le pauvre. Je le plains.
    3
  2. booddha
     
    Désactiver les points de restauration du système
    Pour cela
    • Click-droit sur l'icône Poste de travail
    • Click sur Propriétés
    • Click sur l'onglet Restauration du système.
    • Sélectionner Désactiver la Restauration du système
    ou Désactiver la Restauration du système sur tous les lecteurs
    • Click sur Appliquer.
    Tout les points de restauration seront supprimé.
    • Click sur Oui.
    • Click sur OK.

    • Imprimer la procédure suivante et execute la à la lettre.
    • Télécharger VundoFix.exe ici http://www.atribune.org/ccount/click.php?id=4

    Utiliser VundoFix (de Atribune)
    • Mettre le fichier VundoFix.exe sur le Bureau Windows.
    • Fermer tous les programmes car il va y avoir arrêt du PC.
    • double clic sur VundoFix.exe
    (les droits administratifs sont nécéssaires sinon les accès dont à besoin VundoFix.exe lui seront refusés)
    • Click sur le bouton Scan for Vundo
    • Click sur le bouton Remove Vundo lorsque le balayage (scan) est terminé,
    • Click sur Yes sur l'invite de demande de suppression de fichiers s'il y a infection,
    Le Bureau va disparaître un moment lors de la suppression des fichiers
    Une fenêtre annonce que le PC va redémarrer:
    • Click sur OK

    Note:
    Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
    Si tel est le cas, l'outil se lancera au prochain redémarrage.
    Il faut simplement suivre les instructions ci-dessus, à partir de :
    Click sur le bouton Scan for Vundo
    .
    1
  3. booddha
     
    On recommence la procédure mais auparavant il faut que tu renommes HitJackThis.exe en MonJack.exe par example.

    Vundo détecte HJ si on ne change pas son nom et se cache à lui.

    Donc
    Fermer toutes les applications
    Utiliser VundoFix (de Atribune)
    • Mettre le fichier VundoFix.exe sur le Bureau Windows.
    • Fermer tous les programmes car il va y avoir arrêt du PC.
    • double clic sur VundoFix.exe
    (les droits administratifs sont nécéssaires sinon les accès dont à besoin VundoFix.exe lui seront refusés)
    • Click sur le bouton Scan for Vundo
    • Click sur le bouton Remove Vundo lorsque le balayage (scan) est terminé,
    • Click sur Yes sur l'invite de demande de suppression de fichiers s'il y a infection,
    Le Bureau va disparaître un moment lors de la suppression des fichiers
    Une fenêtre annonce que le PC va redémarrer:
    • Click sur OK

    Note:
    Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
    Si tel est le cas, l'outil se lancera au prochain redémarrage.
    Il faut simplement suivre les instructions ci-dessus, à partir de :
    Click sur le bouton Scan for Vundo.

    Remettre un rapport HJ
    1
  4. booddha
     
    Utiliser VirtumundoBegone (de secured2k)
    • Télécharger VirtumundoBeGone.exe ici http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
    • Mettre le fichier VirtumundoBeGone.exe sur le Bureau Windows.
    • Fermer toutes les fenêtres, tous les programmes, pas de connexion ouverte: il va y avoir redémarrage du PC.
    • Double clic sur VirtumundoBeGone.exe
    • Suivre les instructions (Click sur Run si demandé, Click sur Start, puis Click sur Yes).
    Lorsque l'outil a terminé, redémarrer.

    Ne pas s'inquiéter s'il y a un message "Erreur fatale" avec Ecran bleu (BSOD), c'est normal et attendu.
    Redémarrer.
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. booddha
     
    Appliquer exactement les procédures indiquées.
    Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
    Répondre sans attendre à toutes les questions posées
    Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
    dépasse les compétences de celui ou ceux qui vous aident.



    Nettoyage avec CCleaner
    On va commencer par faire un peu le ménage

    • Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
    http://download.piriform.com/ccsetup205.exe
    • Fermer toutes les applications
    • Lancer CCLeaner
    S'il n'est pas en Français cliquer sur Options, Setting, Language
    et sélectionner Français
    • cocher dans le menu Nettoyeur - onglet Windows :
    Internet Explorer: Fichiers Internet Temporaires, Cookies
    • Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
    • Avancé: Vieilles données du Prefetch
    • Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
    • Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
    • Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
    Firefox/Mozilla: Cache Internet, Cookies
    • Click sur Analyse
    • Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
    • Click sur Registre
    • Sélectionner tout
    • Click sur Chercher des erreurs (En bas)

    Une fois le scan terminé sélectionner tout
    • Click sur Réparer les erreurs sélectionnées

    Relancer la machine et reposter un rapport Hitjackthis
    0
  7. Utilisateur anonyme
     
    salut,
    a premiere vu d'oeil le pc n'est pas à jour^^

    Windows XP SP1 le sp2 est sortit

    ensuite fix :

    O4 - HKUS\S-1-5-18\..\Run: [Drmupgds] C:\Program Files\Drmupgds\Drmupgds.exe (User 'SYSTEM')
    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)

    puis

    Télécharge
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    sur ton Bureau et lance le.

    Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée.

    Copie et colle les ligne ci-dessous dans l'encadré bleue de OTMoveIt nommé Paste Standard List of Files/Folders to move.

    C:\Program Files\Drmupgds\Drmupgds.exe

    Clique sur MoveIt! pour lancer la suppression.
    Si OTMoveIt propose de redémarrer ton PC, accepte !
    Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

    Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.
    0
  8. Utilisateur anonyme
     
    salut

    bon alors essai de faire des scan en ligne chez kaspersky et panda puis mes a jour antivir et fait un scan mes avant le scan coupe internet

    aide antivir ici: https://www.malekal.com/avira-free-security-antivirus-gratuit/

    et pour etre bien proteger avec antivir telecharge zone alarm free et spyware terminator (firewall et anti spyware)
    0
  9. Utilisateur anonyme
     
    et aussi ne mais pas en qurantaine les virus spprime les tu apuis sur delete
    0
  10. booddha
     
    Bien, je lui souhaite bien du courage à plusieurs sur sa peau

    Je vous le laisse.
    0
  11. cyr75 Messages postés 11 Statut Membre
     
    ok ok je viens de m'occuper de ccleaner et le pc redémarre après j'attaque les autres conseils et je vous tiens au courant !
    merci bcp à tous pour votre aide
    0
  12. cyr75 Messages postés 11 Statut Membre
     
    voici le rapport Hijackthis après ccleaner.
    dois je tout de suite installer le pack SP2 ou faire autre chose ?
    0
  13. cyr75 Messages postés 11 Statut Membre
     
    pardon j'ai oublié de le coller (je ne sais plus ou donner de la tête !

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:14:43, on 27/02/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\winamp.exe
    C:\WINDOWS\System32\explorer.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
    C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {BA6C6CB6-676C-4DEA-9BDA-3BC4AB075F7C} - C:\WINDOWS\System32\wvuvsrq.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Drmupgds] C:\Program Files\Drmupgds\Drmupgds.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O20 - Winlogon Notify: wvuvsrq - C:\WINDOWS\SYSTEM32\wvuvsrq.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
    0
  14. Utilisateur anonyme
     
    fait ce que je tes dit....
    sa serai deja fini....

    ensuite fix :

    O4 - HKUS\S-1-5-18\..\Run: [Drmupgds] C:\Program Files\Drmupgds\Drmupgds.exe (User 'SYSTEM')
    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)

    puis

    Télécharge
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    sur ton Bureau et lance le.

    Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée.

    Copie et colle les ligne ci-dessous dans l'encadré bleue de OTMoveIt nommé Paste Standard List of Files/Folders to move.

    C:\Program Files\Drmupgds\Drmupgds.exe

    Clique sur MoveIt! pour lancer la suppression.
    Si OTMoveIt propose de redémarrer ton PC, accepte !
    Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

    Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.
    0
  15. Utilisateur anonyme
     
    peut tu ecouter mon conseille stp merci
    0
  16. cyr75 Messages postés 11 Statut Membre
     
    C:\Program Files\Drmupgds\Drmupgds.exe not found ?
    0
    1. booddha
       
      Il va falloir que tu choisises qui tu suit.
      Je peux te dire que tu as un virus (identifié) et que faire une mise à jour de windows dans ces conditions n'est pas le top.
      0
  17. cyr75 Messages postés 11 Statut Membre
     
    ok jessydu54 je fais ce que tu me dis pour kapersky
    par contre Dorgane le "ensuite fix" je n'y comprends rien désolé je dois être un peu à la masse ...
    0
  18. Utilisateur anonyme
     
    je ne dit pas de mettre à jour....je lui dit qu'il n'est pas à jour....
    0
  19. cyr75 Messages postés 11 Statut Membre
     
    pour kapersky c'est compliqué car dès que je branche internet antivir me demande de bloquer des entrées de virus et je n'ai plus la main pour rien. Je bosse sur mon pc propre connecté et je fais la passerelle avec une clef sur l'autre pc .
    Est ce qu'il y a une solution de désinfection sans passet par les scan en ligne ?
    0
  20. Utilisateur anonyme
     
    fait ce que je t'ai dit pout antivir
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6