Se connecter / S'enregistrer
Votre question

sale bete de trojan

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Janvier 2007 22:47:39

il y a 1 semaine, un pote a ouvert un mail douteux sur mon pc.
depuis je me bats avec un trojan ... je pensais l'avoir tué mais il me semble qu'il reste caché quelques part ...

Si l'un de vous a une idée ... ou une solution ...

Voici le logfile de hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 22:35:12, on 15/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\WINDOWS\System32\RunDll32.exe
F:\Program Files\The Cleaner\tcm.exe
F:\Program Files\The Cleaner\tca.exe
F:\PROGRA~1\ZONELA~1\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\services.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
F:\instalation\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBExtigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [WindowsRegKey upd4te2d4te] zabtusunb.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Windows Compliant] istsgh.exe
O4 - HKLM\..\Run: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\ocatpwu.exe
O4 - HKLM\..\Run: [UWLANSTA.EXE] UWLANSTA.EXE START
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels88.exe
O4 - HKLM\..\Run: [PCDAS] C:\Program Files\Defenza\pcd-as.exe /10003
O4 - HKLM\..\Run: [tcmonitor] F:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [tcactive] F:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [Zone Labs Client] F:\PROGRA~1\ZONELA~1\ZoneAlarm\zapro.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [blah service] internet.exe
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] zabtusunb.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [System driver] Messenger.exe
O4 - HKLM\..\RunServices: [Windows Compliant] istsgh.exe
O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels88.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsRegKey upd4te2d4te] zabtusunb.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Windows Compliant] istsgh.exe
O4 - HKCU\..\Run: [MS SyS Restore] sysrestore.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\grolala\LOCALS~1\Temp\96669.exe[#ff0000]
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\INSTAL~1\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\Program Files\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\Program Files\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Program Files\poker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Program Files\poker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Autres pages sur : sale bete trojan

15 Janvier 2007 23:41:10

Salut ...

En effet, pas mal de lignes infectées ...

Fais un scan avec eScan Antivirus Toolkit comme expliqué ici ...

Poste le rapport ici ...
17 Janvier 2007 11:32:21

je te mets que ce les dernieres lignes parce que le rapport en compte au moins un milliers :

File C:\WINDOWS\System32\peuwzk.sys infected by "SpamTool.Win32.Agent.s" Virus. Action Taken: File Renamed.

File C:\WINDOWS\System32\sibev.sys infected by "SpamTool.Win32.Agent.s" Virus. Action Taken: File Renamed.

File C:\Documents and Settings\grolala\Local Settings\Temporary Internet Files\Content.IE5\HBBBHLS2\new[1].php infected by "Trojan-Downloader.JS.Agent.bi" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\grolala\Local Settings\Temporary Internet Files\Content.IE5\LJBR55SE\new[1].php infected by "Trojan-Downloader.JS.Agent.bi" Virus. Action Taken: File Deleted.

File F:\grolala\installation\(PC - GAME) World Poker Tour 2006 (Full CD).zip tagged as not-a-virus:AdWare.Win32.Casino.w. No Action Taken.



Encore merci,
Contenus similaires
17 Janvier 2007 11:50:45

Salut ...

Ces quelques lignes ne me seront que peu utiles ...

Colle le rapport entier en pièce jointe ... (via un site d'hébergement de fichiers) ...

Ton système n'est pas à jour et est vraiment bien infecté ...

Allons-y pas à pas ...

Avertissement : Tu n’auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...
Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

Télécharge SDFix (par AndyManchesta) et sauvegarde-le sur ton Bureau.

Double-clique sur SDFix.exe et choisis "Install" pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure ci-après :
  • Redémarre ton ordinateur.
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  • Choisis ton compte.
  • Une autre manière en images.

    Nettoyage

  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double-clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés, puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système mettra plus de temps pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse, avec un nouveau log Hijackthis.

    Télécharge DiagHelp.exe sur ton bureau.

  • quitte toutes les applications en cours, il va y avoir un redémarrage de ton pc.
  • double-clique sur DiagHelp.exe : une fenêtre cmd va s'ouvrir, choisis l'option 1
  • on te demandera d'appuyer sur une touche lorsque le scan est terminé: le pc va alors redémarrer.
  • au redémarrage du pc copie/colle le contenu du bloc-notes qui vient de s'ouvrir dans ton prochain post.

    Reposte aussi un log Hijackthis ...
    17 Janvier 2007 11:52:39

    Bonjour,

    La procédure est longue et en partie en mode sans échec. Attention, tu n'as pas accès à Internet dans ce mode, enregistre cette page Web (clique sur fichier/enregistrer sous/choisis « Bureau ») ou imprime ce que tu as à faire.

    1/ Télécharge la version d'évaluation d'AVG Anti-Spyware 7.5

    Installe-le sur ton bureau

    - Démarre AVG Anti-Spyware 7.5 avec l'icône qui se trouve sur ton Bureau.
    Clique sur Mise à jour.
    Sous Mise à jour manuelle clique sur Commencer la mise à jour et attend la fin de cette mise à jour puis ferme le programme.

    2/ Télécharge Ccleaner

    Installe le dans un répertoire dédié (attention à l'installation pense à décocher l'installation de Yahoo toolbar).

    3/ Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
    Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
    Cela va créer un dossier clean.

    4/ Redémarre en mode Sans Échec
    (au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
    choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée.
    Choisis ton compte usuel (et non Administrateur).

    Si tu n’arrives vraiment pas à redémarrer en mode sans échec je te propose ce lien :

    Redémarrer en mode sans échec

    5/ Lance Ccleaner

    Puis clique sur le bouton « Analyse » ensuite bouton « Lancer le Nettoyage ». Ensuite fait de même sur le bouton « Erreurs » puis « chercher des erreurs » et « réparer les erreurs sélectionnées ».

    6/ Lance AVG Anti-Spyware 7.5 et clique sur Analyse et ensuite clique sur Analyse complète du système.
    A la fin du scan il affichera une liste des fichiers détectés.
    Clique sur le bouton Appliquer toutes les actions.
    Clique sur Enregistrer le rapport, puis Enregistrer le rapport sous, je te conseille de le mettre sur ton bureau.

    7/ Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    Double-clic sur clean. Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Un rapport va etre généré sauvegarde le sur ton bureau

    8/ Redémarre en mode normal.

    Poste le rapport AVG Anti-Spyware 7.5, le rapport clean dans ta prochaine réponse et poste un nouveau rapport HijackThis.
    17 Janvier 2007 23:12:19

    Ouala !

    Ca m'a pris l'aprem, mais j'ai suivi vos recommendations pas à pas et à la lettre.
    D'abord les tiennes mykanos, puis les tiennes bob_.

    Ca a déjà l'air de mieux fonctionner!

    Du coup, vu qu'il en ressort pas mal de rapport, je l'ai ai tous mis dans deux archives .rar ( une par protocole ) qui sont telechargeables sur un site de stockage (archive-host) aux adresses suivantes:

    http://anonyme.archive-host.com/rapporttechniquemykerin...

    http://anonyme.archive-host.com/rapporttechnique_bob__y...

    Sinon, je me demandais si au pire, un formatage complet du pc ne pouvais pas être une solution, certe un peu violente, mais efficace ... ?

    Encore merci pour tout à tous les deux.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS