Sujet Précédent Sujet Suivant

Infection par Trojan

Résolu/Fermé
Rezz Messages postés 63 Date d'inscription jeudi 10 avril 2008 Statut Membre Dernière intervention 4 février 2013 - 22 avril 2008 à 17:19
Rezz Messages postés 63 Date d'inscription jeudi 10 avril 2008 Statut Membre Dernière intervention 4 février 2013 - 23 avril 2008 à 13:44
Bonjour,

Je suis infecté depuis plusieurs jours par un ou plusieurs Trojan. J'ai scanné de nombreuses fois l'ensemble de mon disque dur avec Kaspersky mais le trojan not-a-virus:Adware.win32.virtumonde revient assez souvent
J'ai aussi trouvé packed.win32.monder.

voici un rapport Hijack mais je ne comprends pas les infos que je dois en tirer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:40, on 22/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {24170F14-D268-41FC-B7A3-1CE8BE8BF79F} - C:\WINDOWS\system32\rqRjHyAS.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {9B5BE65E-EC87-4F68-B93A-1DBE89A94699} - C:\WINDOWS\system32\byXRhHBs.dll (file missing)
O2 - BHO: (no name) - {C14E6230-757D-4246-81CE-B34E2940C722} - C:\WINDOWS\system32\hgGAQJyV.dll (file missing)
O2 - BHO: {cdb18d3a-53f1-5d7b-1174-030c452628fd} - {df826254-c030-4711-b7d5-1f35a3d81bdc} - C:\WINDOWS\system32\tbdpmvcv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [BM7ba1dfdd] Rundll32.exe "C:\WINDOWS\system32\mdrlsrwb.dll",s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D38668C-08A2-4C76-A4CA-45C1B79A44FB}: NameServer = 212.27.32.5,213.228.0.168
O20 - Winlogon Notify: hgGAQJyV - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




O4 - HKLM\..\Run: [BM7ba1dfdd] Rundll32.exe "C:\WINDOWS\system32\mdrlsrwb.dll",s
Cette ligne m'interpelle car dans "msconfig" je ne peux empêcher ce processus de se lancer. il recrée a chaque démarrage un nouvel élément de démarrage.
Je n'arrive pas bien sur à le supprimer dans le répertoire System32



Sinon comme symptômes, je ne peux pas lancer de recherche internet, google ou d'autre moteur de recherche se bloque et la page demandée ne s'affiche pas .. je reste sur la page d'acceuil.
J'ai aussi des pop-up qui se lance même si je n'ai pas l'explorateur (IE ou mozilla) d'ouvert
J'ai essayer Vundofix et f-vmonde mais il n'y a pas eut de résultats

Une idée ?


Merci
A voir également:

3 réponses

Réponse 1 / 3
Utilisateur anonyme
22 avril 2008 à 18:11
salut

telecharge malwarebytes + spybot + ad-aware mes les a jours puis fait ujn scan et supprime tous se qu'il trouve si sela ne marche pas tu reesaye mais en mode sans echec avac prise en charge du reseau

aide malwarebytes spybot et ad-aware (il ,y a le lien pour les telecharger):

http://www.malekal.com/tutorial_Ad-Aware2007.php
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/

puis tu me reposte un log hijackthis
0
Réponse 2 / 3
Rezz Messages postés 63 Date d'inscription jeudi 10 avril 2008 Statut Membre Dernière intervention 4 février 2013
22 avril 2008 à 21:37
Voila mes scans sont terminés


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:01, on 22/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {24170F14-D268-41FC-B7A3-1CE8BE8BF79F} - C:\WINDOWS\system32\rqRjHyAS.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {9B5BE65E-EC87-4F68-B93A-1DBE89A94699} - C:\WINDOWS\system32\byXRhHBs.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D38668C-08A2-4C76-A4CA-45C1B79A44FB}: NameServer = 212.27.32.5,213.228.0.168
O20 - Winlogon Notify: hgGAQJyV - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe






C'est mieux ? J'ai l'impression d'avoir éradiquer le (les) trojan(s), je peux a nouveau faire des recherche sur google
0
Réponse 3 / 3
Utilisateur anonyme
23 avril 2008 à 13:05
d'apres le rapport oui c'est bon mes fait un scan en ligne chez bitdfender et supprime tous se qu'il trouve (s'il trouve quelque chose)
0
Rezz Messages postés 63 Date d'inscription jeudi 10 avril 2008 Statut Membre Dernière intervention 4 février 2013
23 avril 2008 à 13:44
D'accord !

Merci beaucoup jessy
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses