Votre question

Virus Trojan gen win 32 méchant!

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Octobre 2008 18:21:56

Bonjour,

j'ai un trojan-gen sur mon ordi.
Les conséquences sont assez facheuses puisqu'il a vérolé tous les accès de sortie de l'ordi, carte ethernet, ports USB, lecteur DVD.
Donc je n'ai plus accès à internet directement.
J'ai réussi à réinstaller les ports USB ce qui me permet de pouvoir copier des fichiers via une cle USB.
J'ai donc installé Hijack et voici le rapport.

Merci de votre réponse

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00:58, on 06/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ACS.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPl...
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 7793 bytes

Autres pages sur : virus trojan gen win mechant

a b 8 Sécurité
6 Octobre 2008 20:04:22

Bonjour,

Tu as l'emplacement ?
7 Octobre 2008 09:36:55

Bonjour,

De quel emplacement parles tu? Si c'est de l'emplacement d'origine des fichiers infectés, il y en a plusieurs. J'ai fait tourner Avast (en mode sans échec notamment) plusieurs fois pour me débarasser de ce virus. La quarantaine contient donc maintenant plusieurs dizaines de fichiers.
Veux tu ces emplacements d'origine?
Contenus similaires
a b 8 Sécurité
7 Octobre 2008 12:42:09

Si les infections ne sont plus là c'est ok nan ?
7 Octobre 2008 13:29:56

Je ne suis pas certain que les infections soient totalement supprimées.
En plus, comment je remplace les fichiers infectés?
Vont ils faire défaut à l'ordi par la suite?
a b 8 Sécurité
7 Octobre 2008 13:41:09

Citation :
Je ne suis pas certain que les infections soient totalement supprimées.

Pour moi c'est ok. Tu as des soucis ?

Citation :
En plus, comment je remplace les fichiers infectés?

Hein ?

Citation :
Vont ils faire défaut à l'ordi par la suite?

Bah nan.
7 Octobre 2008 14:11:08

Bonjour,
J'ai aussi un Win32:trojan-gen sur C... mais aussi un Win32:Vapsup-CG et un Win32:Vapsup-A et C un Win:32:Tipa et un Win32:Rootkit-gen...
et je sais pas comment m'en débarasser...
en plus je comprends pas... Avec Avast et un scan minutieux ils apparaissent...
avec Norton .. mon pc n'est pas infecté...
Je ne sais pas ce que je dois faire... Pourriez-vous m'aider svp ?
Merci !!!
a b 8 Sécurité
7 Octobre 2008 17:56:02

Emplacement ?
7 Octobre 2008 21:46:16

Bonsoir,
Ils se sont installé dans c://System information...
Et apparemment maintenant j'ai deux dll qui foirent au démarrage..
Le truc c que je télécharge jamais rien... sauf mon antivirus... donc je ne sais pas d'où il provient !!!!
7 Octobre 2008 21:49:41

Voilà exactement une partie du rapport...
Sign of "Win32:Tipa [Cryp]" has been found in "C:\System Volume Information\SystemRestore\FRStaging\Users\Emmanuelle\AppData\Local\Temp\57329.exe\0.exe" file.
07/10/2008 19:22:10 Emmanuelle 3768 Sign of "Win32:Tipa [Cryp]" has been found in "C:\System Volume Information\SystemRestore\FRStaging\Users\Emmanuelle\AppData\Local\Temp\57329.exe\1.exe" file.
07/10/2008 19:22:12 Emmanuelle 3768 Sign of "Win32:Tipa [Cryp]" has been found in "C:\System Volume Information\SystemRestore\FRStaging\Users\Emmanuelle\AppData\Local\Temp\57329.exe\2.exe" file.
07/10/2008 19:22:13 Emmanuelle 3768 Sign of "Win32:Tipa [Cryp]" has been found in "C:\System Volume Information\SystemRestore\FRStaging\Users\Emmanuelle\AppData\Local\Temp\57329.exe\3.exe" file.
07/10/2008 19:22:14 Emmanuelle 3768 Sign of "Win32:Tipa [Cryp]" has been found in "C:\System Volume Information\SystemRestore\FRStaging\Users\Emmanuelle\AppData\Local\Temp\57329.exe\4.exe" file.
07/10/2008 19:22:15 Emmanuelle 3768 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\SystemRestore\FRStaging\Users\Emmanuelle\AppData\Local\Temp\57329.exe\5.exe" file.
07/10/2008 19:22:16 Emmanuelle 3768 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\SystemRestore\FRStaging\Users\Emmanuelle\AppData\Local\Temp\57329.exe\7.exe" file.
a b 8 Sécurité
8 Octobre 2008 11:58:56

Il te suffit de désactiver/réactiver la restauration dus système.
8 Octobre 2008 14:07:05

J'ai fait une restauration du système qui a échoué sur vista
Par contre, dans la zone de quarantaine d'Avast dossier "Fichiers Importants sauvegardés" se trouve trois fichiers : "kernel32.dll ; winsock.dll; wsock32.dll" trois dll de C:\\Windows\system32...je ne parviens pas à restaurer ces fichiers... même en faisant un scan avant démarrage du system... avast ne me propose pas de réparer !

Et au démarrage je me retrouve avec deux msgs d'erreur rundll:"Erreur de chargement de C:\Users\EMMANU~1\AppData\Local\Temp\qoMdDuUM.dll" le module spécifié est introuvable et l'autre msg d'erreur rundll "Erreur de chargement de C:\Users\EMMANU~1\AppData\Local\Temp\geBsPhge.dll

Je sais plus quoi faire ! >:o 


8 Octobre 2008 14:28:22

Ha oui .. le pire dans tout ça.. c'est que j'ai toujours mon trojan à chaque nouveau scan d'avast ...
C'est vraiment la ..


a b 8 Sécurité
8 Octobre 2008 15:22:23

J'ai pas vu que tu squattais un sujet qui n'est pas le tien...
Merci de créer ton propre sujet et de poster un rapport Hijackthis dedans.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS