Mignon piti trojan Résolu

Question

Bonjour!
Excusez si je vous donne pas toutes les infos nécessaires mais je suis pas (encore) un expert ^^

Depuis quelques jours, j'ai avast qui me fait régulièrement des alertes au trojan dans mes fichiers temporaires...
Je les supprimes immédiatement mais à chaque fois, quelques temps après, un autre trojan se ramène au même endroit sous un autre nom.
Je n'ai remarqué aucun effet direct si ce n'est que mon ping a doublé sur Ventrilo (logiciel de com par micro casque) et a bien augmenté sur certains jeux.
Mes analyses Avast, Spybot et adaware ne detectent plus rien de néfaste...

Voici le log d'HijackThis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ventrilo\Ventrilo.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [Microsoft Windows Sound] svuhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Si vous avez des idées pour éviter le formatage..., n'hésitez pas!
Merci d'avance

RTA_Vylsain · Answer

Au fait, je précise que presque simultanément, IE a commencé à planter, il se ferme tout seul et me demande si je veux envoyer un rapport d'erreur, comme d'hab...
Mais étant donné que c'est IE et que c'est fréquent, je ne sais pas s'il y a une corrélation...

Autre symptome, dans l'onglet performances du gestionnaire des tâches, la jauge d'utilisation du fichier ne descend jamais au dessous d'1.5Go au repos ( ce qui est étrange car j'ai 2Go de ram et la jauge est remplie au quart...) et quelques fois, durant à peine 1/2 seconde, en bas à droite, j'ai un panneau qui s'affiche et qui m'annonce un problème de mémoire virtuelle...

C'est tout ce que je peux dire pour l'instant

BOB3 · Answer

Salut RTA_Vyslain,
t'as une infection/Trojan qui se trouve la:
O4 - HKLM\..\RunServices: [Microsoft Windows Sound] svuhost.exe 

tu fais ce qui suit a la lettre, 
telecharge SmitfraudFix.exe, 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
tu l'installe sur ton bureau, 
Pour effectuer une recherche, ouvres le dossier SmitFradfix puis double-cliquez sur l'icône SmitFraudfix pour le lancer. 

une fois, l'option 1 lancée. 
Une fenêtre sur fond bleu s'ouvre alors... un message d'informations s'ouvre, appuis sur une touche pour passer à l'étape suivante. 
tu choisis l'option 1 -- Recherche, et tu le laisse faire. 
Une fois le scan terminé, un rapport va s'ouvrir sur le Bloc-Note, tu fait un copier et tu le postes. 

a+
BOB3

BOB3 · Answer

Re RTA_Vyslain,
ta version AVAST, c'est la version gratuite ou autre???
BOB3

BOB3 · Answer

Re RTA_Vylsain,
tu lance ton ordi en mode sans echec,
tu lance SmitFraudFix, et tu choisis mode 2,
tu laisses finir, tu sauvegarde le log qu'il donne,
tu reboot en mode sans echec, et tu repostes le log.
a+
BOB3

BOB3 · Answer

Re RTA_Vylsain,
je viens de constater que SmitfraudFix.exe est executé a partir de:
C:\Program Files\Mozilla Firefox\SmitfraudFix 
pour plus d'efficacité, mets le sur ton bureau, et lance le a partir de cet emplacement,
il faut refaire la manip en 6.
a+
BOB3

BOB3 · Answer

Bonjour RTA_Vylsain,
en effet le rapport est propre.

ce qu'il faut faire en priorité, 
1--jettes un coup d'oeil dans panneau de configuration, Taches planifiées s'il n'ya plus rien--si tu trouves qq chose, tu le supprimes manuellement.
2--desactives ta restauration pour effacer toutes traces d'infections, tu la reactive a nouveau, et tu crees un nouveau point daté d'aujourdh'ui.
3--je te conseille de desinstaller Avast, et tu installes AVG8 + SA DERNIERE MISE A JOUR
ftp://ftp.commentcamarche.com/download/avg_free_stf_all_8_100a1295.exe
n'installes pas la barre de recherche Yahoo
tu le lances pour faire un scan complet de ta machine.
4--telecharges Spybot
ftp://ftp.commentcamarche.com/download/spybotsd152.exe

installes le et mets le a jour. 
ensuite tu le parametre comme suit. 

tu lances Spybot, puis tu clic en haut Mode, puis tu coche Mode avancé 
ensuite sur outils et tu coches toutes les cases sous outils. 
tu clic sur Demarrage systeme, qui te permets de virer les programmes indesirables ou superflus que tu peux cocher et supprimer 
tu clic sur Interieur systeme, tu lances verifier, et tu les coches un apres l'autre, et puis tu clic sur corriger les problemes 
tu clic sur fichiers Hosts, pour mettre a jour la liste des sites indesirables, et tu refait ca a chaque mise a jour de spybot 
tu clic sur ajustement IE, et tu coches toutes les cases verrouillage 
tu clic sur pages navigateur, et tu clic 2 fois sur tout les liens, un apres l'autre, et lorsqu'il s'ouvre, tu efface le contenu 
et tu clic Ok 
tu clic sur BHOs, et tu vire tout----> sauf ceux de ton antivirus+Spybot 
tu clic sur ActivX, et tu vire tout----> sauf ceux de windows+office+genuine advantage+Shockwave 
tu clic sur Resident, et tu coches les 2 cases. 
et une fois par jour avant d'arreter ton ordi, 
tu clic sur Effaceur de securité, et tu clic sur Modeles , puis tu clic sur la liste un apres l'autre, et tu clic en bas 
sur Dechiquetér pour tout nettoyer. 

pour finir passes un coup de Ccleaner, et fait un reboot.
Bonne journee.
BOB3

BOB3 · Answer

Re RTA_Vylsain,

N.B. en ce qui concerne Spybot,
a chaque mise a jour, il faut cliquer sur VACCINATION, peut etre a plusieurs fois pour que les compteurs en haut a droite deviennent identique.

a+
BOB3

RTA_Vylsain · Answer

Et ben avec tout ça, je crois que mon PC est propre...^^
Malgré tout, le problème de ping persiste...
Ca doit être mon fournisseur d'accès qui me prends pour une tanche...

Une fois encore, merci beaucoup BOB3 pour tout le temps que tu as passé à m'aider, je t'en suis reconnaissant...
De plus, je me suis couché moins con pas mal de fois grâce à toi...  :)
Re re re re merci!!!

BOB3 · Answer

Re RTA_Vylsain,
c'est le but ni plus ni moins de donner un coup de pouce quand on peut,
et tant mieux si tes soucis sont resolus.

Reste un truc a verifier,
tu va dans system32\drivers\etc\hosts
ce fichier contient les adresses indesirables gerées par le navigateur, a manipuler avec precautions.
ce que tu va faire, tu pointes ta souris dessus, clic droit ouvrir, et tu l'ouvres avec le wordpad dans le menu choisir,
une fois ouvert, tu clic en haut sur rechercher, puis tu tapes : localhost 
si tu le trouves, tu effaces toute la ligne : 127.0.0.1         localhost  
tu verifis que la liste est bien en continu, tu clic Fichier, Enregistrer, il va l'eregistrer en hosts.txt
tu fermes, tu renommes l'ancien hosts en hosts.040708.txt
et le nouveau hosts.txt tu le renommes en hosts pour que le nouveau remplace l'ancien.

Bonne journee
BOB3

RTA_Vylsain · Answer

C'est fait! ^^

Mignon piti trojan

10 réponses

Votre réponse

Discussions similaires

Newsletters