Virus/ trojan/ plus de barres des tachesFermé

Question

Bonjour,

Le PC de ma femme est infecté. Il n'y a plus de barres de taches. J'ai reussi a faire un scan avec avast par un clic droit sur les lecteurs c:/ et d:/. 2 Trojan ont été trouvé, mais la barre des taches apres redemarrage n'est toujours pas la. Que dois-je faire ? Merci de m'aider.

Je poste ci-apres le log hijack :

Logfile of HijackThis v1.99.1
Scan saved at 23:14:16, on 05/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS	snp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\CCILE~1\LOCALS~1\Temp\Rar$EX00.262\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cecilejb.info/mariage/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS	snp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O13 - WWW. Prefix: http://ehttp.cc/?
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)

geoffrey5 · Answer

Ton hijackthis n est pas à jour : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Et prends aussi le SP2 : https://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html

ensuite refais un rapport hijackthis stp

Mndrs78 · Answer

si la barre des taches n'est pas là appuie sur les touches : en même temps;

ctrl + Alt + Supp ensuite avec le gestionnaire des taches faites nouvelles tâche puis écrivez explorer et faîtes ok sinon écrivez myexplorer et faîtes ok.

geoffrey5 · Answer

Fais ce que je t ai dis en message 1

geoffrey5 · Answer

je ne saurais pas t aider sans le net car il faut télécharger des programmes dsl

geoffrey5 · Answer

ok...en espérant pour toi que ca va marcher

Mndrs78 · Answer

sinon formate le ?

geoffrey5 · Answer

pour le SP2 clique sur ce lien : https://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html 

et enregistre le sur ton pc pour ensuite le mettre sur celui de ta femme avec une clé usb ou en le gravant sur cd.

ensuite, met ce programme sur son pc : 

télécharger smitfraudfix : http://telechargement.zebulon.fr/smitfraudfix.html

Option 1 - Recherche :

Dézipper la totalité de l'archive smitfraudfix.zip.

Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

copier/coller le rapport dans la réponse.

geoffrey5 · Answer

ok...maintetant : 

Option 2 - Nettoyage :


Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.


Redémarrer en mode normal et poster le rapport.

geoffrey5 · Answer

oui...et j avais pas vu que t avais fais la recherche en mode sans échec...tu as fais le contraire lol..

Refais un rapport hijackthis stp

geoffrey5 · Answer

ca a l air bon, je ne vois plus d infection

relance hijackthis en cliquant cette fois ci sur do a system scan only et coche cette ligne : 

O4 - S-1-5-21-1417001333-1682526488-1343024091-1004 Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User '?') 

ensuite clique sur fix checked.

je te conseille aussi de télécharger ces programmes antispywares qui sont tres utiles sur un pc : 

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

https://www.01net.com/telecharger/

fais les mises à jour et analyses au moins une fois par semaine.

Si tu as encore ton probleme de barre des taches, je vais faire des recherches...a+

Utilisateur anonyme · Answer

euh tu as oublié des trucs geoffrey5

geoffrey5 · Answer

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau. 
* Double-clique sur ToolsCleaner2.bat et laisse le travailler 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)

Utilisateur anonyme · Answer

ça suspect : 
O4 - HKUS\S-1-5-21-1417001333-1682526488-1343024091-1004\..\Run: [Host] (User '?') 

EDIT : si on regarde ici : 

http://www.sysinfo.org/startuplist.php?letter=&filter=Host&count=50&offset=100

a cette ligne : 

Host	X	N/A	Added by the POPDIS or STARTPAGE.F TROJANS!

on constate que c'est un fichier infecté mais j'ai un doute il faudrait demander à un grand ce que je ferai


ça a corriger : 
O13 - WWW. Prefix: http://ehttp.cc/? 

(fix le puis repost un log)

mettre à jour la console java car faille de sécurité avec une version obsolete : 

Ensuite je t'invite à désinstaller la console java : 

http://www.java.com/fr/download/help/uninstall_msvm.xml

et ensuite à réinstaller une version à jour  : 

https://www.java.com/fr/download/manual.jsp


sinon j'ai un petit doute

peux tu effectuer ceci : (si possible en mode sans echec sinon pas grave)

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse. (effectue une mise a jour avant chaque scan )

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAN en cliquant sur Quitter.

geoffrey5 · Answer

toujours pas cocher cette ligne : O4 - S-1-5-21-1417001333-1682526488-1343024091-1004 Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe (User '?') 

Et télécharge le SP2

Utilisateur anonyme · Answer

j'ai oublier de te dire de cocher ces lignes la aussi : (repost un log)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated) 

sinon je vais me renseigner sur le problème de MBAM

pense à mettre à jour ta console JAVA aussi ;)

geoffrey5 · Answer

inutile au démarrage

Utilisateur anonyme · Answer

pourrais tu me donner plus de renseignement sur le probleme de MBAM ? 

Sinon Hijackthis est il installé sur le pc ou tu le lance à partir de la clé usb?

si tu le lances à partir de la clé usb peux tu désinstaller hijackthis puis le réinstaller mais cette fois sur l'ordinateur en question.

Autre précision a la fin de l'installation renomme le fichier HiJackThis.exe en monhijack

puis repost un log :)

JB · Answer

Pour MBAM, le message est le suivant :

Erreur d'execution '372':

Impossible de charger le controle 'vbalgrid' à partir de 'vbalgrid6.ocx'. Votre version de 'vbalgrid6.ocx' est peut ^tre obsolète. Vérifiez que vous utilisez la version du contrôle fournie avec votre application.
-----------------------

Sinon à l'installation de la console java j'ai le message suivant : 

"Le service windows installer n'est pas accessible. Cela peut se produire si vous executez Windows en mode sans echec, ou si windows installer n'est pas correctement installé. Contacter votre service de support pour obtenir de l'assistance."

--------------------------------------

Et pour finir : OUI je lance les logiciels depuis la clé USB, mais j'ai pas le choix vu que je n'arrive pas à faire de copier/coller sur le PC. Si vous avez une solution je veux bien les copier sur le PC et relancer, MBAM, la console java, HIjack, le SP2 etc...

geoffrey5 · Answer

essais avec celui ci : 

Télécharger sur le bureau malware bytes : https://www.besttechie.com/resources/malwarebytes/
 

= double-clic sur mbam-setup pour lancer l'installation 
= Installer simplement sans rien modifier 
= Quand le programme lancé ==> cocher Exécuter un examen complet 
= Clic Rechercher 
= Eventuellement décocher les disque à ne pas analyser 
= Clic Lancer l'examen 
= En fin de scan , si infection trouvée 
==> Clic Afficher résultat 
= Fermer vos applications en cours 
= Vérifier si tout est coché et clic Supprimer la sélection 

un rapport s'ouvre le copier et le coller dans la réponse 

Puis redémarrer le pc !!

Et refais un rapport hijackthis

Utilisateur anonyme · Answer

Oui l'erreur vient du fait que ta version de windows est SP1 (d'après ce que j'ai lu sur un forum, une histoire avec lutilisation d'une activeX par mbam)

Comment es tu connecté à internet sur l'ordinateur de ta femme ? wifi ou cable ethernet ?
Si wifi, peux tu essayer de te brancher en Ethernet pour tester la connection.

JB · Answer

je suis branché par cable ethernet. Avec un routeur derrière une livebox.
Ca marchait impec jusqu'à avant hier et l'arrivée des soucis....

Utilisateur anonyme · Answer

on va tenter avec un combofix : 

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

JB · Answer

Désolé mais là je suis crevé.
J'essaierais demain.
Mais je sens que je vais formater et lui installer Linux ca va pas trainer....

A+ et merci

JB

Utilisateur anonyme · Answer

lol ok bonne nuit JB ;)

tkt on y viendra à bout ;)

Virus/ trojan/ plus de barres des taches

24 réponses

Discussions similaires

Newsletters