Eradication Virus Win32 Trojan-gen {other} Résolu/Fermé

Question

Bonjour,
Mon ordi vient d'être affecté par le virus/ver Win32 : Trojan-gen {other}.
J'ai déjà effectué plusieurs manip en suivant vos conseils que j'ai pu trouver sur votre forum, dont je félicite votre réseau pour son efficacité et sa simplicité d'explications. 
Voici donc les informations que j'ai pu récupérer concernant mon virus.
J'ai commencé par désactiver l'UAC.
J'ai ensuite fait une analyse du système avec SmitFraudFix, Malwarebytes AntiMalware, puis  et Avast en mode sans échec. Voici les rapports :

1.	SmitFraudFix v2.354

Scan done at  0:34:20,63, 30/09/2008
Run from C:\Users	op office\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
c:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users	op office


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users	op office\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\TOPOFF~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{53288528-50CE-4438-AFEB-5855C23E9BEA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9BA0436C-12D6-4A5C-AFC9-C025A4F17BC8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{53288528-50CE-4438-AFEB-5855C23E9BEA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9BA0436C-12D6-4A5C-AFC9-C025A4F17BC8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{53288528-50CE-4438-AFEB-5855C23E9BEA}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9BA0436C-12D6-4A5C-AFC9-C025A4F17BC8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

2.	Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1222
Windows 6.0.6001 Service Pack 1

30/09/2008 02:27:35
mbam-log-2008-09-30 (02-27-35).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 114954
Temps écoulé: 59 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

3.	Rapport Avast :
Nom du fichier : C:\ProgramFiles\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
Nom du logiciel malveillant : Win32 : Trojan-gen {other}
Type du logiciel malveillant : Virus/ver
Version VPS : 080929-1, 29/09/2008


J’ai tenter de réparer l’erreur par Avast en cliquant sur « Réparer ». Une fenêtre s’est ouverte et indique ceci : « Résultat des Traitements – Une erreur s’est produite lors du traitement du 1 résultat(s) ! »

Quelles manip à suivre pourriez-vous m’indiquer ?

Je vous remercie par avance de votre aide et vous félicite encore à tous car c’est un réel souci quand on ne connaît pas l’électronique…

Ugatz

Matériel : Pc pentium Dual Core TOSHIBA
Système d'exploitation : Windows Vista
Navigateur : Internet Explorer

totobetourne · Answer

cela doit etre un faux positif car le fichier parait normal.

Ensuite,
*Rends toi sur ce site :

https://www.virustotal.com/gui/

*Clique sur "Parcourir" et cherche ce fichier : C:\ProgramFiles\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll 
*Un rapport va s'élaborer ligne à ligne.
*Attends la fin. Il doit comprendre la taille du fichier envoyé.
*Sauvegarde le rapport avec le bloc-note.
*Copie le dans ta réponse.
*Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Reanalyse" le fichier maintenant.

totobetourne · Answer

on va faire cela apres.pour voir si tu n as pas d autres infections caches celle la.


1)telecharge cela:util pour voir ce que peut etre l infection et agir ensuite.

http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

installe le normallement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijack avec un clique droit sur le raccourci et executer en tant qu administrateur.


2)je te conseillerai aussi apres de revoir tes defences car deja avast , on peut faire mieux.

Ugatz · Answer

Salut Totobetourne,

Je te remeercie pour tes infos. Je suis chez ma soeur qui t'a écrit pour moi. Malheureusement, la connexion avec la Livebox dégoise... donc là maintenant je me rends chez une amie pour me connecter et suivre tes instructions pour les manip que tu m'as conseillées.

Merci encore à très vite

Ugatz · Answer

Re-salut Totobetourne,
Voici le rapport de VirusTotal :

AhnLab-V3 2008.10.2.0 2008.10.01 - 
AntiVir 7.8.1.34 2008.10.01 - 
Authentium 5.1.0.4 2008.10.01 - 
Avast 4.8.1248.0 2008.10.01 - 
AVG 8.0.0.161 2008.10.01 - 
BitDefender 7.2 2008.10.01 - 
CAT-QuickHeal 9.50 2008.10.01 - 
ClamAV 0.93.1 2008.10.01 - 
DrWeb 4.44.0.09170 2008.10.01 - 
eSafe 7.0.17.0 2008.10.01 - 
eTrust-Vet 31.6.6120 2008.10.01 - 
Ewido 4.0 2008.10.01 - 
F-Prot 4.4.4.56 2008.09.30 - 
F-Secure 8.0.14332.0 2008.10.01 - 
Fortinet 3.113.0.0 2008.10.01 - 
GData 19 2008.10.01 - 
Ikarus T3.1.1.34.0 2008.10.01 - 
K7AntiVirus 7.10.479 2008.10.01 - 
Kaspersky 7.0.0.125 2008.10.01 - 
McAfee 5395 2008.10.01 - 
Microsoft 1.4005 2008.10.01 - 
NOD32 3486 2008.10.01 - 
Norman 5.80.02 2008.10.01 - 
Panda 9.0.0.4 2008.09.30 Suspicious file 
PCTools 4.4.2.0 2008.10.01 - 
Prevx1 V2 2008.10.01 - 
Rising 20.63.62.00 2008.09.28 - 
SecureWeb-Gateway 6.7.6 2008.10.01 - 
Sophos 4.34.0 2008.10.01 - 
Sunbelt 3.1.1675.1 2008.09.27 - 
Symantec 10 2008.10.01 - 
TheHacker 6.3.0.9.097 2008.10.01 - 
TrendMicro 8.700.0.1004 2008.10.01 - 
VBA32 3.12.8.6 2008.09.30 - 
ViRobot 2008.10.1.1401 2008.10.01 - 
VirusBuster 4.5.11.0 2008.10.01 - 
Information additionnelle 
File size: 806912 bytes 
MD5...: b2a1a3a02e248bb68c6238a742252d05 
SHA1..: 529f15d343111b3d9714cee9c9e8a7cee074fdaa 
SHA256: d40d9f3709e2a11e2302268955769d6efe67c22fafbade99e1060958db1659df 
SHA512: 49cf3472f345e8859621786cfc6f1f6b1a7ae138a5fa6a86c78cff382330e5a2
e558836b7b91236c85d222ab8730ff452e9ff5bfa1aaaa9c204a76dae1b5246c 
PEiD..: - 
TrID..: File type identification
DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100551fb
timedatestamp.....: 0x47673d7d (Tue Dec 18 03:24:45 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6d60a 0x6e000 6.67 acf5bbbb5f41a57a76ceedc337eea8be
.rdata 0x6f000 0x1aff6 0x1b000 5.18 9310dfb07626307b83b3fe3d5bf2139c
.data 0x8a000 0x1c0c8 0x7000 4.84 7ddaa98ccbe6562cfb88a4c043573063
.SHARED 0xa7000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0xa8000 0x26bb0 0x27000 7.82 a410f4325646679b35be05e84ab7909e
.reloc 0xcf000 0xbbaa 0xc000 5.87 d54bee2b891f435409bc81bf31e4c185

( 13 imports ) 
> WININET.dll: InternetOpenUrlA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetOpenA, InternetCloseHandle, HttpQueryInfoA, InternetQueryDataAvailable, InternetReadFile, InternetCrackUrlA, InternetGetConnectedState, InternetCanonicalizeUrlA, InternetCreateUrlA
> KERNEL32.dll: WaitForSingleObject, CreateProcessA, IsBadWritePtr, GetTickCount, MultiByteToWideChar, SizeofResource, LockResource, LoadResource, SetEnvironmentVariableA, SetEndOfFile, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetFilePointer, FlushFileBuffers, GetConsoleMode, GetConsoleCP, GetStringTypeW, GetStringTypeA, GetCurrentProcessId, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, LCMapStringA, ExitProcess, HeapCreate, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStdHandle, IsValidCodePage, GetOEMCP, GetCPInfo, GetTimeZoneInformation, GetSystemTimeAsFileTime, VirtualQuery, GetSystemInfo, VirtualProtect, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, RtlUnwind, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, GetProcessHeap, HeapSize, HeapReAlloc, HeapFree, HeapAlloc, HeapDestroy, GetThreadLocale, GetLocaleInfoA, GetACP, ExpandEnvironmentStringsA, SetFileAttributesA, IsDBCSLeadByteEx, GetSystemDirectoryA, GetVolumeInformationA, CreateThread, GetExitCodeProcess, WriteFile, ResetEvent, GetFileSize, ReadFile, GetWindowsDirectoryA, GetFileAttributesA, CreateFileA, CreateDirectoryA, ReleaseMutex, GetVersionExA, FindResourceA, FindResourceExA, WideCharToMultiByte, EnterCriticalSection, LeaveCriticalSection, lstrlenA, FormatMessageA, GetModuleFileNameA, GetModuleHandleA, GetModuleHandleW, GetUserDefaultLangID, GetSystemDefaultLangID, Sleep, CreateMutexA, CloseHandle, CompareStringW, CompareStringA, InterlockedExchange, GlobalHandle, GlobalFree, GlobalLock, GlobalUnlock, MulDiv, lstrcmpA, GlobalAlloc, InterlockedCompareExchange, DisableThreadLibraryCalls, FreeLibrary, IsDBCSLeadByte, InterlockedDecrement, InterlockedIncrement, LoadLibraryExA, lstrcmpiA, DeleteCriticalSection, InitializeCriticalSection, LoadLibraryA, lstrlenW, GetCommandLineA, GetDateFormatA, GetTimeFormatA, CreateEventA, GetProcAddress, GetFileAttributesW, LocalAlloc, GetVersion, RaiseException, FlushInstructionCache, GetCurrentProcess, LoadLibraryW, GetLastError, SetLastError, GetModuleFileNameW, SetEvent, DeleteFileA, GetCurrentThreadId, OutputDebugStringA
> USER32.dll: LoadMenuA, InsertMenuItemA, SetMenuItemInfoA, LoadImageA, MessageBoxA, GetWindowLongA, GetParent, GetDlgItem, SetWindowPos, MapWindowPoints, GetClientRect, UnregisterClassA, SetWindowPlacement, FindWindowExA, EnableMenuItem, CheckMenuItem, GetMenuItemInfoA, RemoveMenu, GetMenuItemCount, DestroyMenu, CreatePopupMenu, TrackPopupMenu, GetCursorPos, DrawTextA, DrawStateA, AnimateWindow, MonitorFromPoint, MonitorFromWindow, GetMonitorInfoA, GetAncestor, CopyIcon, DestroyIcon, OffsetRect, PostMessageA, RegisterWindowMessageA, CreateAcceleratorTableA, DestroyAcceleratorTable, BeginPaint, EndPaint, ReleaseCapture, SetCapture, CreateDialogParamA, InvalidateRgn, GetSysColor, SetWindowContextHelpId, MapDialogRect, EndDialog, GetDC, GetSystemMetrics, DialogBoxIndirectParamA, SetFocus, InvalidateRect, GetWindowTextLengthA, GetWindowTextA, GetComboBoxInfo, FillRect, IsChild, GetForegroundWindow, ShowWindow, CharNextA, SetWindowsHookExA, GetFocus, CallNextHookEx, GetClassNameA, UnhookWindowsHookEx, EndMenu, MoveWindow, GetKeyState, ReleaseDC, GetWindowDC, ScreenToClient, ClientToScreen, GetMessageA, IsDialogMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, SetActiveWindow, GetDesktopWindow, IsWindowEnabled, EnableWindow, SendMessageA, IsWindow, IsWindowVisible, CallWindowProcA, DefWindowProcA, CreateWindowExA, GetClassInfoExA, RegisterClassExA, DestroyWindow, LoadCursorA, KillTimer, SetTimer, SetWindowLongA, LoadStringA, SetWindowTextA, GetWindow, GetWindowRect, SystemParametersInfoA, GetWindowPlacement, IsIconic, DrawFrameControl, UpdateWindow, SetWindowRgn, IsRectEmpty, PtInRect, SetRectEmpty, CopyRect, InflateRect, DrawIconEx, SetCursor, GetCapture, UnionRect, DialogBoxParamA, RedrawWindow
> GDI32.dll: LPtoDP, DPtoLP, StretchBlt, OffsetRgn, CombineRgn, CreateRoundRectRgn, CreatePolygonRgn, GetClipBox, CreateRectRgn, SetStretchBltMode, SetWindowOrgEx, FrameRgn, GetViewportOrgEx, SetViewportOrgEx, ExcludeClipRect, EqualRgn, GetTextExtentPoint32A, RestoreDC, SaveDC, Polygon, CreatePen, SetTextColor, ExtTextOutA, GetPixel, GetTextColor, CreateFontIndirectA, GetStockObject, GetObjectA, GetDeviceCaps, BitBlt, CreateCompatibleDC, CreateCompatibleBitmap, SetBrushOrgEx, SetBkMode, SetBkColor, SelectObject, DeleteObject, CreatePatternBrush, CreateSolidBrush, GetTextMetricsA, DeleteDC
> ADVAPI32.dll: RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA, RegDeleteKeyA, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegEnumKeyExA, RegEnumValueA, OpenProcessToken, GetTokenInformation, LookupAccountSidA, RegCloseKey
> SHELL32.dll: SHGetSpecialFolderPathA, ShellExecuteA
> ole32.dll: CLSIDFromProgID, CoTaskMemFree, ProgIDFromCLSID, StringFromCLSID, CoLoadLibrary, CoFreeUnusedLibraries, RegisterDragDrop, OleUninitialize, OleInitialize, ReleaseStgMedium, CreateStreamOnHGlobal, CLSIDFromString, OleLockRunning, CoGetClassObject, CoUninitialize, CoInitialize, OleDraw, RevokeDragDrop, StringFromGUID2, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: UrlUnescapeA, PathFileExistsA, StrStrIW, StrStrW, PathRemoveFileSpecA, PathRemoveBackslashA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, ImageList_Create, ImageList_GetIconSize, ImageList_SetBkColor, ImageList_Draw
> MSIMG32.dll: TransparentBlt
> snmpapi.dll: SnmpUtilOidNCmp, SnmpUtilOidCpy, SnmpUtilVarBindFree
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
Je passe à la seconde étape que tu me proposes dès maintenant... Merci

Ugatz · Answer

Voici maintenant le rapport de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:55, on 01/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\Registration\ToshibaRegistration.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe" /start
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')
O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - c:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - c:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

totobetourne · Answer

a priori non , essaye de faire une mise a jour d avast et le probleme devrait etre regler.

on va voir pour le rapport hijack.

totobetourne · Answer

rapport hijack qui a l air normal.on va regarder avec cet outil tres pratique surtout pour les pb de pub.parle en autour de toi.

1)pour faire des scan de temps en temps
Telecharges malwares bytes anti malwares :

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.


2)ton probleme est resolu mais il y a de nombreux point sur lesquelles tu pourrais ameliorer la securite de ton ordi.
si cela t interesse . fait signe.

Ugatz · Answer

Voilà donc pour le moment... j'espère avoir de tes nouvelles ce soir, je ne te cacherai pas que, vu que je n'ai pas d'accès à Internet depuis chez moi, ça m'est difficile de me connecter plus souvent... En tout cas, je te remercie beaucoup car c'est vraiment sympa d'avoir des traducteurs, au passage très pédagogues, du langage informatique, il est vrai que c'est très complexe pour des novices.
A très vite, merci

Ugatz · Answer

Ah !!! Salut,
Je n'avais pas vu que tu étais en train de me répondre... Merci
Je lance Avast pour mise à jour. Je fais un scan avec Avast ?

totobetourne · Answer

tu lui fais juste analyser le fichier qu il t ennoncait comme nuisible et cela ne devrait plus etre le cas.

Ugatz · Answer

comment tu fais pour faire analyser juste le fichier ?
Je sélectionne l'icône en bas à droite "Sélection des dossiers", ensuite je ne sélectionne que le fichier PDFCreator Toolbar et je lance "play", c'est bien ça ?

totobetourne · Answer

je crois que tu dois faire comme moi. cherche le fichier fait un clique droit et ensuite sur scan avec avast et tu obtiendras une reponse.

Ugatz · Answer

En faisant ainsi, Avast ne trouve aucun fichier infecté

totobetourne · Answer

tu as bien fait la mise a jour.

Ugatz · Answer

La mise était faite, le scan ne trouve aucune infection... cool !!! merci ça me rassure déjà... En fait, il s'agit simplement d'une pub ? Quel logiciel dois-je utiliser pour nettoyer ces pubs ?

totobetourne · Answer

on peut voir pour ameliorer tes defences.

Ugatz · Answer

oui je veux bien merci...
Alors en antivirus, voici les 3 que je possède déjà :
1. Avast
2. CCleaner
3. Malwarebytes' Anti-Malware
4. Ad-Watch ?

Je viens de désinstaller Ad-Aware et je pense qu'il est un élément d'Ad-Aware, non ?

totobetourne · Answer

il te faut un pare feu deja mais il faudra desactiver le pare feu windows.fait deja cela on verra pour la suite.


pare-feu gratuits:regle un seul pare feu sur un ordi.telecharge un des suivants ensuite deconnecte toi.
puis desactive le pare feu windows(aller dans le centre de securite puis pare feu windows et la desactive le)
puis installe celui de ton choix.

je te conseille un des 2(en anglais mais simple avec le tuto qui est donne) 

Comodo pro Firewall
http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro
Tuto pour la 3.0
https://infomars.fr/forum/index.php?showtopic=1225

ou 

OnlineArmor :(pas pour vista)
téléchargement:https://www.commentcamarche.net/telecharger/ 34055356 online armor personal firewall

tutoriels:https://forum.pcastuces.com/sujet.asp?f=25&s=35606
:http://www.malekal.com/tutorial_Online_Armor.ph

il y en a d autres mais d apres les test de matousec en gratuit il n y en a pas bcp d autre.
http://www.matousec.com/index.html

Ugatz · Answer

Ok j'ai désactivé le pare-feu Windows. Je branche l'ordi de ma pote pour suivre les infos sur le sien... désolé du délai, j'étais au téléphone avec ma dulcinée...

Ugatz · Answer

j'ai installé COMODO Firewall Pro dois-je maintenant faire un scan avec ou on passe à installer un nouveau programme ?

Ugatz · Answer

Je viens de me rendre compte que j'avais été trop vite dans l'installation de COMODO, j'ai vu les tuto après, j'avais pas compris que c'était le guide d'utilisation. Désolé de t'embêter... Merci

totobetourne · Answer

fais comme indique et cela se passe assez facilement.

Ugatz · Answer

Ok merci, je suis en train de faire un scan, apparemment rien d'anormal comme tu me l'as dit. Dois-je réactiver le pare-feu windows ou non ?
Enfin, y a-t-il d'autres logiciels à installer ?
En tout cas, je suis bien plus rassuré maintenant et te remercie du temps passé pour m'aider aussi précieusement.

totobetourne · Answer

un seul pare feu et un seul antivirus qui te defend en temps reel sur un ordi donc ne le reactive pas.


je te conseille aussi de passer de avast a antivir ou AVG 8 antivirus car actuellement bien plus performant.avst etait bien il y a quelques annees et les mise a jour maintenant arrive avec trop de delai donc pendant une periode ou tu es vulnerable(c est pareil pour les autres antivirus)mais ce delai est actuellement trop lon pour avast.a toi de voir mais sache que de nombreuses personnes infectees on avast couple au pare feu windows.

Ugatz · Answer

Salut,
Je te remercie beaucoup de tes conseils. Je prends note pour l'antivirus et m'en occuperai plus tard.
Je te souhaite bonne continuation

Eradication Virus Win32 Trojan-gen {other}

25 réponses

Discussions similaires