Trojan UPS Fermé

Question

Bonjour,
J'ai lu un grand nombre des correspondances liées au Trojan envoyé via l'email d'UPS.
J'ai deux ordi infectés ( 2 de mes collaborateurs ont ouvert les PJ du mail!!).
Sur l'undes deux ordi j'ai réussi a appliqué SDFix.
L'ordi a réussia remarcher mais j'ai en permanence une fenetre demandant un antivirus etc...

Pour le second c'est plus problematique car meme en mode sans echec il ne veux ouvrir aucune application!
Je suis donc bloqué, dans l'im:passe!
Je suis preneur de toute aide ou information pouvant m'aider a debloquer ces ordis!

Je precise qu'a part les logiciels " aidés" a savoir ceux de bureautiques, interne et autres progiciel, je suis nul en informatique!!

Merci d'avance
David

jlpjlp · Answer

slt

commençons par le premier PC:


colle un rapport hijackthis
http://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.ht(...) 
manuel :

http://leblogdeclaude.blogspot.com/2006/10/informatique-sect­ion-hijackth(...)

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

dovy75 · Answer

bonjour et merci de ta réactivité!

jusque la je suis bon...

dovy75 · Answer

voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:11:28, on 18/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\WINDOWS\system32\sysrest32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Dimode-serveur\Bureau\eden\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32
tos.exe,
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Clone] "C:\Program Files\Clone\clone.exe" /W
O4 - HKLM\..\Run: [\COMPTA\EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P32 "\COMPTA\EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [lphc1kmj0et8l] C:\WINDOWS\system32\lphc1kmj0et8l.exe
O4 - HKLM\..\Run: [SMrhc5kmj0et8l] C:\Program Fileshc5kmj0et8lhc5kmj0et8l.exe
O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O24 - Desktop Component 1: (no name) - http://www.dimode.algora.fr/login.php
O24 - Desktop Component 2: Reverso : Traducteur en ligne, Traduction Automatique Gratuite, Dictionnaire, Grammaire - http://r.voila.fr/r?ref=V_LR_SiteWeb&url=http%3A%2F%2Fdh.search.ke.voila.fr%3A80%2Fr%3Furl%3Dhttp%253A%252F%252Fwww.reverso.net%252Ftext_translation.asp%253Flang%253DFR%26rurl%3Dhttp%253A%252F%252Fwww.reverso.net%252Ftext_translation.asp%253Flang%253DFR%26id%3D1496700001199348963351539%26ap%3D1%26profil%3Dvoila%26bhv%3Dweb_fr%26rdata%3Dtraduction%252Ben%252Bligne%26numa%3D4%26nump%3D4%26lg%3D%253F%253F%26v%3D01%26salt%3D839414%26part%3D241%26key%3D0ca87266d6a59a0388979803d7d07036

jlpjlp · Answer

ok
il y en a des infections...

pour avg la version 8 est sortie!

_____________

Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.



_____________________

télécharge smitfraudfix selectionne l'option 1 et colles le rapport

http://siri.urz.free.fr/Fix/

dovy75 · Answer

j'ai eu un rdv entre temps!
me revoici!

j'ai appliqué le MSNFix.bat...sans succes!
Il ne trouve aucun infection. Ci joint le rapport.
MSNFix 1.742  
 
C:\Documents and Settings\Dimode-serveur\Bureau\MSNFix\MSNFix 
Fix exécuté le 18/08/2008 - 14:15:39,95 By Alex 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20080818141815
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file .... 



-- final size 0.77 Kb / 20 lines
-- entry Found : 0  /  Entry check : 310

End .............................. 47.64 Secondes 

 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


Dois je utiliser qd meme le smitfraudix??

jlpjlp · Answer

colle un rapport avec malwarebyte antimalware après suppression de ce qui a été trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

dovy75 · Answer

désolé 

je reviens vers toi un peu en retard.
J'ai effectué la malwarebyte sur mes 2 ordi et il semble que tout soit rentré dans l'ordre.
En tout cas, et c'est le plus important j'arrive a nouveau a utiliser le 2eme ordi.

Merci grandement de ton intervention et de ton aide précieuse!!!

A++

jlpjlp · Answer

mets a jour internet explorer: ici:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html



puis

recolle un rapport hijackthis pour verifier

Trojan UPS

8 réponses

Discussions similaires