Sujet Précédent Sujet Suivant

Help !! infection trojan-downloader

Résolu/Fermé
zerosub - 21 nov. 2008 à 19:42
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 22 nov. 2008 à 09:10
Bonjour,

Mon antivirus kaspersky 7 a récemment repéré un trojan downloader, je l'ai supprimé à l'aide de kaspersky mais je crois qu'il est toujours présent (peut être sur mon disque externe ou clés usb) pourriez vous m'en assurer, voici un rapport hijackthis, merci d'avance pour votre aide précieuse !!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:38, on 21/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "c:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Service CANALPLAY - Unknown owner - D:\Documents and Settings\Julien MATHIEN\Bureau\CanalPlayService.exe (file missing)
A voir également:

6 réponses

Réponse 1 / 6
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
21 nov. 2008 à 19:59
apparement ton trojan n'est plus ,mais tu va faire ceci tout de meme :

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
0
zerosub Messages postés 61 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 28 avril 2009 3
21 nov. 2008 à 20:12
Merci pour votre réponse si rapide !!! voici le rapport !!



-------------- UsbFix V2.411 ---------------

* User : Julien MATHIEN - SUBZERO
* Outils mis a jours le 21/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 20:05:30 le 21/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
D:\DOCUME~1\JULIEN~1\LOCALS~1\Temp\1.tmp\b2e.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur fixe

K: - Lecteur amovible

L: - Lecteur amovible


+- Contenu de l'autorun : C:\autorun.inf



+- Contenu de l'autorun : D:\autorun.inf



+- Contenu de l'autorun : E:\autorun.inf



+- Contenu de l'autorun : K:\autorun.inf



+- Contenu de l'autorun : L:\autorun.inf



--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[05/08/2004 13:00][--a------] C:\NTDETECT.COM
[24/08/2008 18:33][-rahs----] C:\BOOT.INI
[31/08/2008 01:52][drahs----] C:\autorun.inf
[24/08/2008 17:44][--a------] C:\DWNLOG.TXT
[24/08/2008 17:44][--a------] C:\MCDLOG.TXT
[24/08/2008 17:44][--a------] C:\SAUDIT.TXT
[24/08/2008 17:44][--a------] C:\UsbFix.txt
[][] C:\hiberfil.sys
[][] C:\IO.SYS
[][] C:\MSDOS.SYS
[][] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe


+- Listing des fichiers présents :

[31/08/2008 01:52][drahs----] D:\autorun.inf
[09/10/2008 17:11][--a------] D:\prefs.js

--------------- [ Lecteur E ] ----------------

E: - Lecteur fixe


+- Listing des fichiers présents :

[31/08/2008 01:52][drahs----] E:\autorun.inf

--------------- [ Lecteur F ] ----------------

F: - Lecteur de CD-ROM


+- Listing des fichiers présents :


--------------- [ Lecteur K ] ----------------

K: - Lecteur amovible


+- Listing des fichiers présents :

[15/10/2008 18:56][-rahs----] K:\MS32DLL.dll.vbs
[15/10/2008 18:56][-rahs----] K:\MS32DLL.dll.vbs
[17/05/2008 16:02][---hs----] K:\desktop.ini
[15/10/2008 13:24][drahs----] K:\autorun.inf

--------------- [ Lecteur L ] ----------------

L: - Lecteur amovible


+- Listing des fichiers présents :

[15/10/2008 12:13][-rahs----] L:\MS32DLL.dll.vbs
[15/10/2008 12:13][-rahs----] L:\MS32DLL.dll.vbs
[21/08/2008 23:03][drahs----] L:\autorun.inf

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

RocketDock="C:\Program Files\RocketDock\RocketDock.exe"
<NO NAME>=
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
High Definition Audio Property Page Shortcut=HDAShCut.exe
RTHDCPL=RTHDCPL.EXE
Alcmtr=ALCMTR.EXE
ATICCC="c:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
NeroCheck=C:\WINDOWS\system32\NeroCheck.exe
AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
HP Software Update="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - [21/11/2008 20:06] C:\autorun.inf
Echec de la supression !! - [21/11/2008 20:06] C:\autorun.inf
Supprimé ! - [21/11/2008 20:06][d-a------] C:\autorun.inf
Echec de la supression !! - [21/11/2008 20:07] D:\autorun.inf
Echec de la supression !! - [21/11/2008 20:07] D:\autorun.inf
Supprimé ! - [21/11/2008 20:07][d-a------] D:\autorun.inf
Echec de la supression !! - [21/11/2008 20:07] E:\autorun.inf
Echec de la supression !! - [21/11/2008 20:07] E:\autorun.inf
Supprimé ! - [21/11/2008 20:07][d-a------] E:\autorun.inf
Echec de la supression !! - [15/10/2008 13:24] K:\autorun.inf
Echec de la supression !! - [21/11/2008 20:06] K:\MS32DLL.dll.vbs
Echec de la supression !! - [21/11/2008 20:08] K:\*.dll.vbs
Echec de la supression !! - [15/10/2008 13:24] K:\autorun.inf
Supprimé ! - [15/10/2008 13:24][d-a------] K:\autorun.inf
Echec de la supression !! - [21/08/2008 23:03] L:\autorun.inf
Echec de la supression !! - [21/11/2008 20:06] L:\MS32DLL.dll.vbs
Echec de la supression !! - [21/11/2008 20:08] L:\*.dll.vbs
Echec de la supression !! - [21/08/2008 23:03] L:\autorun.inf
Supprimé ! - [21/08/2008 23:03][d-a------] L:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[05/08/2004 13:00][--a------] C:\NTDETECT.COM
[24/08/2008 18:33][-rahs----] C:\BOOT.INI
[09/10/2008 17:11][--a------] D:\prefs.js
[21/11/2008 20:08][-rahs----] K:\MS32DLL.dll.vbs
[21/11/2008 20:08][-rahs----] K:\MS32DLL.dll.vbs
[17/05/2008 16:02][---hs----] K:\desktop.ini
[21/11/2008 20:08][-rahs----] L:\MS32DLL.dll.vbs
[21/11/2008 20:08][-rahs----] L:\MS32DLL.dll.vbs

--------------- ! Fin du rapport ! ----------------

Encore merci pour votre aide !!!
0
Réponse 2 / 6
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
21 nov. 2008 à 20:18
Télécharge Flash_Disinfector de sUBs ici
:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Enregistre le sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le bureau
0
Réponse 3 / 6
zerosub Messages postés 61 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 28 avril 2009 3
21 nov. 2008 à 20:32
C'est fait !!! Tu penses que c'est ok !!! merci !!
0
Réponse 4 / 6
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
21 nov. 2008 à 20:47
essaie de rebrancher tes unités externes et voit si kaspersky s'affole ;)

Sinon tu peux mettre ton post en résolu .

Bon surf !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
zerosub Messages postés 61 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 28 avril 2009 3
21 nov. 2008 à 21:41
merci pour tout, bonne soirée en famille !!!
0
Réponse 6 / 6
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 nov. 2008 à 09:10
re;

celui ci : K:\MS32DLL.dll.vbs et L:\MS32DLL.dll.vbs sont dans tes disques externes et semble bien louches !

Branches te unités externes correspondantes ,clic droit "explorer" et dis moi si tu vois la traces de ces scripts et supprimes les si c'est le cas .
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses