Votre question

Win32:Small-EPJ [Trj] :'(

Tags :
  • Avast
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Novembre 2007 12:41:35

Bonjour,
je ne sais plus quoi faire mon avast n'arrete pas de me faire des alertes concernant un trojan "Win32:Small-EPJ [Trj]" et je n'ai que "abandonner la connection" et j'ai remarqué qu'à chaque fois que cela se produit une icone s'ouvre en bas a droite elle est nommé "avast courrier electronique" et si je met "abandonner la connection" celle-ci se ferme et se réouvre avec une nouvelle alerte d'avast ! De plus l'adresse qui s'affiche sur l'icone change constament ... Par ou commencer svp ? J'ai essayé Ccleaner, Ad-Aware 2007 ( full scan ) , Avast ( scan precis ) , SpeedUpMyPC 3 , spybot et puis "sav32sfx" en mode sans echec et toujours cette m**** !
Par ou commencer maintenant?

Autres pages sur : win32 small epj trj

5 Novembre 2007 12:58:23

Apparement ce n'est pas la seule bête dans le pc !
nouvelle infection de "Win32:Agent-KIR [Trj]" je peux supprimer mais je vais le supprimer a partir du fichier source et non par avast. Quelqu'un pourrais m'aider ? Une fois que vs ayez finis de manger bien sur ^^ ( 12h56 ) Le fichier infecté est "Ip6Fw.sys"

Une de plus -.-"
"Win32:Agent-MEB [Trj]" le fichier contaminé est runtime.sys
Si quelqu'un pourrais m'aider ! :'( 
5 Novembre 2007 13:14:00

Est-ce que ceci est normal?
Des messages sortant de "@waterdog.com" ??? et les messages sont envoyés a des adresses que je ne connais pas ! les adresse waterdog changent tt le tps et les adresses des destinataires aussi !

Contenus similaires
5 Novembre 2007 13:16:02

Scan integralement ton pc, le virus as dors et déja pu se multiplier...
runtime.sys est un fichier crée par le virus pour rentrer des clés dans le registre au démarrage du systeme. Si elles sont faites, tes encore plus dans la m....
5 Novembre 2007 13:20:04

j'ai deja scanné integralement avec plusieurs logiciel : /
j'ai l'impression que des mails s'envoie tt seul
et si neuf telecom voit sa c'est sur moi que sa va retomber puisque sa va être considéré comme du spam ...
j'ai tenté la restauration system et il a eu un message comme quoi aucun changement effectué . Il y aurait pas quelqu'un de dispo pr aider? en attendant je reboot pr voir si j'ai a nouveau des alertes car la je n'en n'est plus et aucun mail ne s'envoit .
5 Novembre 2007 13:54:21

Angel dark where are you ?
j'ai l'impression d'être ignoré ...
5 Novembre 2007 14:14:35

-.-" personne ? il est quand mm 14h13 ...
5 Novembre 2007 14:42:28

( merde ! )
Bon, alors je vais essayer moi meme
xD
Fais un log avec hijacthis, puis poste le ici
5 Novembre 2007 14:48:20

ok il faut être en sans echec pr le faire non ?
ps: j'ai des infos pr les mails qui s'envoient tt seuls
je pense que ça vient de "Email-Worm.Win32.Runouce.b" je suis en train de faire un scan avec "a-squared Anti-Malware 3.0" et je suis sûr que c'est ça !
bon je fais le hijackthis par merlin ? en sans echec ?
5 Novembre 2007 15:08:34

Non pas besoin d'etre en mse, mais va y comme tu le sens ;) 
5 Novembre 2007 15:49:31

voila le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 15:45:34, on 04/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\TEMP\VRT55.tmp
O4 - HKLM\..\Run: [04873611] rundll32.exe "C:\WINDOWS\system32\qgbckdke.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D205B.dat
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

sur le site de hijacjthis je ne comprend rien !
"O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Genre

Sûr
Sûr
Effacer à tout prix ! Cet élément a été classé comme bonne par nos visiteurs." sa veut dire qu'il faut le supprimer ou pas ? surement une mauvaise traduction
5 Novembre 2007 15:53:51

bonne nouvelle le logiciel "a-squared Anti-Malware 3.0" a supprimé plusieurs trojans et maintenant il n y a plus de mails qui s'envoient tt seuls ! :D  bon il ne faut pas s'exiter ça n'est pas encore sûr :s
bon après il me reste juste a savoir se qu'il reste comme infection grace au rapport .
5 Novembre 2007 15:59:39

Oui, fixe le on ne sait jamais

Ensuite esque tu es bien sur d'avoir fais les scann avec spybot et ad aware ? c'est très important.

( Et qu'esquil fou angeldark ? merde ! :D  )
5 Novembre 2007 16:44:14

spybot et ad aware oui le scan le plus precis avc ad aware et tt les mises a jours à été faites .
5 Novembre 2007 17:13:51

alors ???
personne sur le forum ?? ils sont où les modos !!!
5 Novembre 2007 17:47:46

zzzZZZzzz ...
Encore un peu et je passais page 2 en affaire classée ...
5 Novembre 2007 18:43:47

Tkt, je reviens xD
Mais bordel je suis pas un pro moi

Bon allez je vais faire comme eux alors

1- va sur le site de Sophos (éditeur AV),
2- clique sur le lien téléchargements,
3- tu dois tomber sur une liste de liens de produits téléchargeables dont un outil s'appelle sav32cli (outil dit d'urgence), clique dessus.
4- suis les indications de téléchargement puis d'installation prescrites (lancement en mode sans échec, etc..)
5- problème réglé (normalement)!
6- il est possible, qu'après la désinfection, lorsque tu relances ton PC, qu'une boîte de dialogue s'affiche pour te signaler qu'un fichier dll ne peut être chargé. En fait, c'est normal, cela doit faire référence au fichier qui s'exécutait automatiquement au démarrage et qui te pourrissait ta machine et qui a donc été supprimé par le logiciel de sophos.
7- si cela se produit, tu va dans le regedit : Rechercher puis tu saisis le nom du fichier dll que tu auras pris soin de noter. Tu appuies sur Entrée et tu attends que la recherche aboutisse sur une clé contenue dans HKLM/Software/Microsoft/Windows/CurrentVersion/Run.
En principe, tu dois trouver une clé dans le paramétrage de laquelle tu retrouves le nom de la dll incriminée. Supprime cette clé.

( c'est pas moi qu'est ecris mais bon :D  )

Bon Ensuite, tu va faire cette page dans l'ordre :
http://www.pc-infopratique.com/article-13-5-le-nettoyag...

5 Novembre 2007 19:29:17

ouep je sais que c'est pas toi je l'ais déjà fais ^^
j'ai supprimé plein plein plein de virus avec des logiciels
il me reste plus que:
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Win32:Agent-KIR [Trj]

C:\WINDOWS\System32\drivers\runtime.sys
Win32:Agent-MEB [Trj]

et
Win32:Small-EPJ [Trj]

http://616957.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

http://616959.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

http://208.66.194.234/s_135_3232235778?m=3&a=1&r=1&hdd=...

http://221041.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

http://62.72.1243.static.theplanet.com/s_135_3232235778...

http://208.66.194.241/s_135_3232235778?m=3&a=1&r=1&hdd=...

http://616957.ds.nac.net/s_135_3232235778?m=3&a=1&r=1&h...

voilà "l'url" change à chaque fois que je fais "abandonner la connection" et toutes ces adresses tournent en rond ... UN EXPERT SVP !
5 Novembre 2007 19:38:24

Ben t sympa toi, tu met l'url du virus ici ( jai été curieu jai cliker xD )

Bon donc après cette frayeur ( j'espere que ta pas voulu minfecter aussi pour que je taide encore plus hein ? ) il faut que tu détailles ce que ta fait et que tu me dises ou tu en ais parcequ c'est le bordel :s
5 Novembre 2007 19:41:43

<< il me reste plus que:
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Win32:Agent-KIR [Trj]

C:\WINDOWS\System32\drivers\runtime.sys
Win32:Agent-MEB [Trj]

et
Win32:Small-EPJ [Trj] >>

et la je suis en maque d'idée ! jr suis obligé de laisser l'alerte ( celle avc les url ) dans un coin de l'écran pour ne pas qu'il y en ai d'autre : /
et pour les autres il ne revienne que lorsque je relance ma session ou je redemarre le pc.
5 Novembre 2007 19:43:15

ok

Télécharger sur le bureau


SdFix

= Double-clic SDFix.
= Clic Install

= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d'accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqua l'apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel


  • Double-clic SDFix.
  • Clic Install
  • Double-clic sur le nouveau dossier SDFix qui est dans C:\
  • Double-clic RunThis
  • Presser Y
  • A l'invitation ==> appuyer sur une touche pour redémarrer
  • Redémarrage ( qui sera plus long ,car nettoyage en cours )
  • Continuer si un message derreurs apparaît ,dans ce cas aller directement au rapport dans SDfix
  • Apparition de Finished
  • Appuyer sur une touche
  • Dans SDFix , un rapport Report.
    5 Novembre 2007 20:18:22

    ok je teste sa tout de suite et je tient au courant .
    5 Novembre 2007 20:30:37

    re, mauvaise nouvelle je ne peut même pas lancer sdfix -.-"

    "Seule une partie d'une requête ReadProcessMemory ou WhriteProcessMemory à été effectuée.

    et je sais pas si c'est une bonne nouvelle mais en redemarrant le pc il ne me reste plus que l'alerte avec les url il n y a pas eu celle des 2 autres trojans, je reboot encore on ne sait jamais ... merci Electrical de m'aider, ce n'est pas comme certains ( pour ne pas citer les modos )
    5 Novembre 2007 20:50:50

    Me dis pas merci car jéssaye de t'aider alors que je ny connait rien

    Moi sur le forum je suis plus partie logiciel tu vois... [:electrical storm]

    Bon donc refait un résumé bref de ce qui se passe maintenant qu'on voye un peu.
    Esque tu as bien fait un scann au démarrage avec avast ?
    C'est important car c'est au démarrage que s'amorce parfois les virus, planifier un des le démarrage leur coupe l'herbe sous le pied, si jpuis dire.
    5 Novembre 2007 20:54:34

    a nan jmange puis je teste thanks a tt
    5 Novembre 2007 21:19:41

    bon ya personne de bien qualifié ici ?
    5 Novembre 2007 21:55:47

    desesperé là ! ya personne c'est mort !
    5 Novembre 2007 22:09:28

    Mais si juste le temps dun multi sur dark crusade ;) 

    Bon fais ce que je te dis.

    PS De toute fasson sur le forum en haut a droite ya une option qui sapelle suivi des discussions ;)  je peux pas toublier tu y es.
    5 Novembre 2007 22:09:57

    n'importe quoi !!!
    un gars crée un sujet à 20h et en 2 h il a 25 reponses !
    moi les 25 reponses je les ai eu en attendant de midi jusqu'à maintenant !
    soit les modos on trop peur parce que c'est beaucoup trop dur pour eux soit y'en a qui en ont rien a foutre des problemes des gens .
    5 Novembre 2007 22:12:52

    mdr ok electrical mais la j'ai redémarer juste ma session et pas d'alerte
    le tps de finir ma converse msn avc une meuf raide dingue de moi et inverse xD
    ( c'est bien rare sa lol ) et je redemare le pc pr voir se qu'il se passe ;) 
    5 Novembre 2007 22:19:31

    shyyr3 a dit :
    n'importe quoi !!!
    un gars crée un sujet à 20h et en 2 h il a 25 reponses !
    moi les 25 reponses je les ai eu en attendant de midi jusqu'à maintenant !
    soit les modos on trop peur parce que c'est beaucoup trop dur pour eux soit y'en a qui en ont rien a foutre des problemes des gens .


    N'en fais pas non plus un K, eu un cas, car tes plutot chanceux d'avoir un suivi de ton sujet plutot regulier....
    Yen a qui nont toujours pas de réponse sur d'autres topics, c'est triste et sa donne forcement mauvaise image du forum, mais on ne peut etre partout, c'est déja bien assez de consacré un peu de son temps sur ce fofo, alors quand on a autre chose à faire, ils ne faut pas crier scandale, un modo a une vie derriere et na pas que sa à penser...

    Et pis, aperemment ton probleme s'est arrangé :D 

    Je vais dire que c'est grace à moi bien sur, pourtant si tu tétais attardé plus longtemps sur google, tu y serais parvenu toi meme...




    6 Novembre 2007 20:33:08

    re,
    mon prob de c'est pas arrangé du tout
    après plusieurs reboot et scans de différents logiciels dont les exelents "Uniblue" et bien toujours le virus, hier juste avant d'eteindre mon pc une nouvelle alerte cette fois-ci "vitorb.exe" ou dans le genre a infecté taskmsgr.exe, explorer.exe ... etc En gros les éléments essentiels, j'en avais tellement marre que du coup j'ai mis supprimer ... Alors que je sais se qu'il se passe quand on coupe le processus explorer.exe ! Mais j'ai fais le con et là impossible d'aller sur les sessions utilisateurs j'étais automatiquement deco.
    Une idée de genie me parvient :
    -je demarre le pc je tapotte F8
    -je lance en "sans echec avc invite de commande"
    -je tape "regedit.exe" la seule que je connaisse
    -je met importer des clés et la je mets "tout les formats" et grâce à cela j'ai pu lancer mon nero et graver sur des dvd toutes mes photos et videos que j'avais besoin.
    et puis je redemarre je tapotte F11 et je formatte ...
    J'arrete avast je passe à antivir.

    Merci quand même à toi Electro sur ce à bientôt pour un prochain pb.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS