Trojan Redirector

Gandalf -  
 Gandalf -
Bonjour à tous
J' ai moi aussi le problème du redirector, détecté par Avast.
J' ai Windows XP pro, et le navigateur de Orange.
J' ai essayé d' appliquer les consignes données sur ce forum , mais je ne peux pas lancer windows en mode sans échec. Une page entière m' explique pourquoi, mais elle ne s' affiche qu' une demi seconde...puis windows démarre normalement.
J' ai donc exécuté Malwarebyte avec windows en fonctionnement normal. Il détecte 5 occurences du virus mais ne peut les enlever, même après plusieurs redémarrages.
Si quelqu' un veut bien m' aider je l' en remercie d' avance chaleureusement!
Configuration: Windows XP, navigateur Orange

7 réponses

  1. Gandalf
     
    C' est le même problème sur l' ordi du voisin: pas moyen d' accéder aux téléchargements. Il a adaware, qui n' a rien détecté à part les cookies.
    0
  2. Gandalf
     
    Même problème chez mon voisin: impossible de télécharger combofix. Il utilise adaware qui ne détecte que des cookies
    0
  3. Gandalf
     
    J' ai trouvé la solution: formatage du disque dur...:(
    0
  4. Utilisateur anonyme
     
    bonjour

    on va essye de d'aider poste le rapport de MBAM qui ce trouve dans quarantaine

    à lire jusqu'en bas

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    IMPORTANT

    Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---clik droit sur ce dernier
    et choisis "renommer" : tapes eden et valide . FAIRE AVANT TOUT LANCEMENT DE HIJACKTHIS


    Tutoriaux : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm (ne fixe rien pour le moment !!)
    http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

    -1
    1. Gandalf
       
      Merci d' avoir répondu aussi vite!
      J' ai quatre rapports mbam, puisque j' avais fait plusieurs essais.
      Voici le dernier (C' est peut-être inutile de poster les autres?)


      **************************
      Malwarebytes' Anti-Malware 1.28
      Version de la base de données: 1230
      Windows 5.1.2600

      06/10/2008 11:27:45
      mbam-log-2008-10-06 (11-27-45).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
      Eléments examinés: 80203
      Temps écoulé: 9 minute(s), 48 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 1
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 2

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: d:\windows\system32\ -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      D:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
      D:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Delete on reboot.
      *************************
      Pour Hijackthis malheureusement je l' avais déjà utilisé quand j' ai eu ton mail, et bien sûr je ne l' avais pas renommé "eden"... (C' est bien hijackthis.exe qu' il faut renommer en eden.exe?)

      Voici quand même le rapport hijackthis que j' avais obtenu sans l' avoir renommé :


      *************************
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 13:34:17, on 06/10/2008
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)
      Boot mode: Normal

      Running processes:
      D:\WINDOWS\System32\smss.exe
      D:\WINDOWS\system32\winlogon.exe
      D:\WINDOWS\system32\services.exe
      D:\WINDOWS\system32\lsass.exe
      D:\WINDOWS\system32\svchost.exe
      D:\WINDOWS\System32\svchost.exe
      D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      D:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\WINDOWS\Explorer.EXE
      D:\WINDOWS\system32\spoolsv.exe
      D:\WINDOWS\System32\FTRTSVC.exe
      D:\WINDOWS\System32\nvsvc32.exe
      D:\WINDOWS\System32\svchost.exe
      D:\WINDOWS\System32\RUNDLL32.EXE
      D:\Program Files\Ahead\InCD\InCD.exe
      D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      D:\PROGRA~1\WANADOO\TaskBarIcon.exe
      D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      D:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      D:\Program Files\Microsoft Office\Office\OSA.EXE
      D:\WINDOWS\Explorer.EXE
      D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\WANADOO\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\WANADOO\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
      O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKCU\..\Run: [WOOKIT] D:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Microsoft Recherche accélérée.lnk = D:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      O4 - Global Startup: Démarrage d'Office.lnk = D:\Program Files\Microsoft Office\Office\OSA.EXE
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
      O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
      O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
      O20 - AppInit_DLLs: vsrcnq.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    A LIRE JUSQU'EN BAS

    Télécharges ComboFix à partir d'un de ces liens :
    En premier
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    -1
    1. Gandalf
       
      J' ai fait une réponse tout à l' heure pour dire que je n' ai pas pu télécharger combofix sur aucun des trois liens, sans doute à cause de ce trojan. Mais on dirait que mon post a disparu, alors je le refait! Et je me mets à la recherche d' un autre ordi pour récupérer ce programme. A plus tard !
      0
  7. Utilisateur anonyme
     
    relance MBAM mais en mode sans echecs
    -1
    1. Gandalf
       
      Je suis allé sur internet depuis un troisième ordinateur, avec un autre abonnement internet, apparemment aucun des trois sites que tu m' as indiqués ne fonctionne pour télécharger combofix.
      Je ne peux pas démarrer en mode sans échec: sur fond d'écran noir un premier message dit: "Esc to cancel loading SPTD.sys", puis de nouveau écran noir, puis un écran bleu couvert d' informations expliquant je crois le problème, mais qui reste une demi seconde, je n' ai donc pas le temps de lire, et le chargement de windows reprend en normal. Dur dur !
      0
  8. Utilisateur anonyme
     
    bonjour

    Telecharge FindyKill sur ton bureau :

    --> http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    --> Lance l installation avec les parametres par default

    --> Double clic sur le raccourci FindyKill sur ton bureau

    --> Au menu principal,choisi l option 1 (Recherche)

    --> Post le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    -1
    1. Gandalf
       
      Bonjour shion-ares!
      J' ai oublié de préciser que j' utilise le multiboot de XP, j' ai win98 sur C: et XP sur D:
      Voila le rapport FindyKill, après interruption de Avast:



      ----------------- FindyKill V3.095 ------------------

      * User : Bob - RKAE4GOT6QA09IB
      * Emplacement : D:\Program Files\FindyKill
      * Outils Mis a jours le 02/10/08 par Chiquitine29
      * Recherche effectuée à 10:09:26 le 07/10/2008
      * Windows XP - Internet Explorer 6.0.2600.0000

      ((((((((((((((((( *** Recherche *** ))))))))))))))))))


      »»»» Presence des fichiers dans D:


      »»»» Presence des fichiers dans D:\WINDOWS


      »»»» Presence des fichiers dans D:\WINDOWS\Prefetch


      »»»» Presence des fichiers dans D:\WINDOWS\system32


      »»»» Presence des fichiers dans D:\WINDOWS\system32\drivers


      »»»» Presence des fichiers dans D:\Documents and Settings\Bob\Application Data


      »»»» Presence des fichiers dans D:\DOCUME~1\Bob\LOCALS~1\Temp


      »»»» Registre :


      ! REG.EXE VERSION 3.0

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      NvCplDaemon REG_SZ RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
      nwiz REG_SZ nwiz.exe /install
      NvMediaCenter REG_SZ RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      WOOWATCH REG_SZ D:\PROGRA~1\WANADOO\Watch.exe
      WOOTASKBARICON REG_SZ D:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
      NeroCheck REG_SZ D:\WINDOWS\system32\NeroCheck.exe
      InCD REG_SZ D:\Program Files\Ahead\InCD\InCD.exe
      avast! REG_SZ D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      TkBellExe REG_SZ "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      WOOKIT REG_SZ D:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx



      »»»» Presence d infections dans Support amovible :




      ----------------- ! Fin du rapport ! ------------------
      0