Pb de trojan inconnu sur mon pc

Ben -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour à tous,
J'ai un souci avec 1 trojan "inconnu" sur mon pc. En ouvrant internet explorer, un bandeau m'affiche "system error ! your computer is infected by unknown trojan..." et quoique je tape sur un moteur de recherche, je me retrouve avec un nouveau bandeau : "Error ! Your browser was hijacked ! Some results was changed by porn results...". Et en effet, la première ligne de ma recherche est tjrs un lien vers le même site porno ! Lorsque je clique sur le bandeau, je suis envoyé sur le site "iedefender.com".
J'ai fait plsrs scan avec avast, mais sans résultat : les mêmes bandeaux s'affichent. Est-ce vraiment un trojan ou une simple "pub" insistante pour télécharger un anti-virus ? Comment me débarrasser de cela ?
Merci d'avance pour votre aide.
Configuration: Windows XP
Internet Explorer 6.0

2 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Ferme Hijackthis en cliquant sur la croix-rouge.

    Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

    http://www.techsupportforum.com/sectools/Deckard/dss.exe

    Choisis "enregistrer" et "Bureau" comme emplacement.

    Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

    Double-clique sur dss.exe pour lancer l'outil.

    S'il ne trouve pas HijackThis, clique sur Oui.

    Clique sur OK à chaque fois que cela sera demandé.

    L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

    Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

    Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.

    Regarde le tuto
    Exécute le en choisissant l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    0
    1. Ben
       
      Bonjour !
      Et merci pour ton aide, Lyonnaise92 !
      J'ai suivi tes instructions et voici les rapports :

      Deckard's System Scanner v20071014.68
      Run by benoit on 2008-03-29 10:32:41
      Computer is in Normal Mode.
      --------------------------------------------------------------------------------

      -- System Restore --------------------------------------------------------------

      Successfully created a Deckard's System Scanner Restore Point.


      -- Last 5 Restore Point(s) --
      42: 2008-03-29 09:32:45 UTC - RP75 - Deckard's System Scanner Restore Point
      41: 2008-03-26 14:56:44 UTC - RP74 - Point de vérification système
      40: 2008-03-25 10:26:57 UTC - RP73 - Point de vérification système
      39: 2008-03-22 14:15:59 UTC - RP72 - Point de vérification système
      38: 2008-03-21 13:28:28 UTC - RP71 - Point de vérification système


      -- First Restore Point --
      1: 2007-12-29 09:48:40 UTC - RP34 - Point de vérification système


      Backed up registry hives.
      Performed disk cleanup.

      [color=red]Total Physical Memory: 256 MiB (512 MiB recommended)./color


      -- HijackThis (run as benoit.exe) ----------------------------------------------

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 10:33:42, on 29/03/2008
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\DeltTray.exe
      C:\Program Files\Accélérateur de débit Alice\AccAlice.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Accélérateur de débit Alice\AccAlice-gui.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\dss.exe
      C:\PROGRA~1\benoit.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: Media Player Codec - {3084A75F-5350-4D8B-BC5F-6B378035C133} - C:\WINDOWS\dsaip32b.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
      O4 - HKLM\..\Run: [SlipStream] "C:\Program Files\Accélérateur de débit Alice\AccAlice.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Accélérateur de débit Alice.lnk = ?
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: THOMSON mp3PRO Audio Player.lnk = C:\Program Files\THOMSON mp3PRO Audio Player\mp3PROplayer.exe
      O4 - Global Startup: THOMSON mp3PRO Online Help.lnk = C:\Program Files\THOMSON mp3PRO Audio Player\mp3PROplayer.chm
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    sais tu d'où vient ce fichier (du 2- mars à 11h28) C:\xmp.bat ?

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
    0