> Tous les forums > Forum Sécurité
 Cheval de Troie détecté : que faire ?Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
gregnalex
  Posté le 11/05/2008 @ 11:36 
Aller en bas de la page 
Petit astucien

Bonjour

Une fenêtre s'ouvrait régulièrement avec de la pu.J'ai donc lancer mon AV Avast et il a trouvé un cheval de troie nommé Win32:DNSChanger-TS.

Il me demande s'il faut le supprimer, le déplace ou le mettre en quarantaine.

Que faire ?

Merci par avance.

Bon dimanche à tous.

Publicité
jacmanou
 Posté le 11/05/2008 à 12:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hello,

Il est important de l'enlever du système. Tu peux le mettre quarantaine.

Télécharger et installer la dernière version d'HIJACKTHIS [v2.0.2] :
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe



    [*] Enregistrer HJTInstall.exe sur le bureau.
    [*] Double-cliquer sur HJTInstall.exe pour lancer le programme.
    Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis.
    [*] Accepter la licence en cliquant sur le bouton "I Accept".
    [*] Choisir l'option "Do a system scan and save a log file".
    [*] Cliquer sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note.
    [*] Cliquer sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport.
    [*] Coller le rapport sur ce forum.
    [*] Ne fixer encore AUCUNE ligne, cela pourrait empêcher le PC de fonctionner correctement.


En cas de doute, un tutoriel très bien fait :
http://www.libellules.ch/poster_log_hijackthis.php



Modifié par jacmanou le 11/05/2008 12:52
adedet
 Posté le 11/05/2008 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
salut gregnolex, tu le quarandaine une fois fair, tu retournes sur icone quarandaine et la tu resupprime. voila le chemin que je suis moi et je n'ia pas de souci aprés.
gregnalex
 Posté le 12/05/2008 à 10:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je suis désolé mais je n'ai pas bien compris ton message adedet.

Autrement, le fichier infecté est : Windows/system32/esdovhv.exe

Si je le mets en quarantaine, ça ne pertubra pas ma machine ?

Une fois, j'avais mis un fichier en quarantaine et j'avais eu un tas de soucis derrière car mon PC avait besoin du fichier pour s'allumer.

Merci de vos réponses.

gregnalex
 Posté le 12/05/2008 à 10:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:08:31, on 12/05/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Ahead\InCD\InCD.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\PROGRA~1\Wanadoo\TaskBarIcon.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\documents and settings\utilisateur\local settings\application data\qbuei.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe C:\PROGRA~1\Wanadoo\ComComp.exe C:\PROGRA~1\Wanadoo\Toaster.exe C:\PROGRA~1\Wanadoo\Inactivity.exe C:\PROGRA~1\Wanadoo\PollingModule.exe C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Controle Parental\bin\optproxy.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\Wanadoo\Watch.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe C:\Program Files\Alwil Software\Avast4\ashSimpl.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [qbuei] c:\documents and settings\utilisateur\local settings\application data\qbuei.exe qbuei O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Monopoly%20Here%20and%20Now/Images/stg_drm.ocx O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Monopoly%20Here%20and%20Now/Images/armhelper.ocx O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe -- End of file - 7094 bytes
marcel2
 Posté le 12/05/2008 à 10:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
bonjour Gregnalex.Si tu le mets en quarantaine,et que tu as des problémes par la suite,tu peux toujours le restaurer aprés.Mais de toute façon,si il est infecté,il faudra arriver a le supprimer,le plus vite sera le mieux.Bon courage
gregnalex
 Posté le 12/05/2008 à 10:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai mis en quarantaine !

J'espère que la bécane va bien supporter au prochain redémarrage.

jacmanou
 Posté le 12/05/2008 à 10:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Hello,

Ton système est infecté ! La petite suppression d'Avast (on en reparlera) n'a pas suffit.

Télécharger Navilog1 de Il Mafioso : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

(Prendre soin de désactiver l'antivirus provisoirement, il pourrait réagir à l'utilisation de l'outil).

- L'enregistrer sur le bureau.
- Ensuite double-cliquer sur navilog1.exe pour lancer l'installation.
- Sous Vista, une fois l'installation terminée, faire un clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".
- Au menu principal, faire le choix 1.
- Suivre les instructions et patienter jusqu'au message : *** Analyse Terminée le ..... ***.

Poster le rapport généré sur le forum.

gregnalex
 Posté le 12/05/2008 à 11:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Le hijack ne suffit pas, il faut refaire encore ça ?
Publicité
jacmanou
 Posté le 12/05/2008 à 11:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le Hijack fait un diagnostic. Maintenant il faut désinfecter. Donc oui il faut faire ça.
gregnalex
 Posté le 12/05/2008 à 11:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Search Navipromo version 3.5.7 commencé le 12/05/2008 à 11:29:08,54

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "UTILISATEUR"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

InternetGameBox

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***

C:\Program Files\InternetGameBox trouvé !

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

...\InternetGameBox trouvé !

*** Recherche dossiers dans "C:\Documents and Settings\UTILISATEUR\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\UTILISATEUR\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\UTILISATEUR\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\UTILISATEUR\locals~1\applic~1" *

Fichiers trouvés :

qbuei.exe trouvé !
qbuei.dat trouvé !
qbuei_nav.dat trouvé !
qbuei_navps.dat trouvé !

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\prefetch\INTERNETGAMEBOX.EXE-1EE9EDEF.pf trouvé !
C:\WINDOWS\prefetch\INTERNETGAMEBOX_SETUP.EXE-327BBE8C.pf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\UTILISATEUR\locals~1\applic~1" :

qbuei.dat trouvé !
qbuei_nav.dat trouvé !
qbuei_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 12/05/2008 à 11:32:52,23 ***

adedet
 Posté le 12/05/2008 à 11:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
salut gregnales, je suis entrain de voir pour ton problème avec DNS changer-TS. une chose es tu aller voir dans le sytème 32, si tu le trouves
gregnalex
 Posté le 12/05/2008 à 11:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Je ne trouve pas le fichier esdovhv où il était.
jacmanou
 Posté le 12/05/2008 à 11:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Adedet, svp laisse moi finir cette désinfection. Il s'agit d'une infection Magic.Control et je m'en occupe. Je sais que tu essaies d'aider mais tu embrouille notre ami.

Toujours dans Navilog1 :

- Au menu principal, choisir 2 et valider.

Le fix va informer qu'il va alors redémarrer le PC.
Fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts.
Appuyer sur une touche comme demandé (si le PC ne redémarre pas automatiquement, Redémarrer).

- Au redémarrage du PC, choisir la session habituelle.

Patienter jusqu'au message :
"*** Nettoyage Termine le ..... ***"
Le bloc-notes va s'ouvrir.

- Sauvegarder le rapport de manière à le retrouver.
- Refermer le bloc-notes. Le bureau va réapparaitre.

Démarrer -> Panneau de Configuration -> Options Internet.
Cliquer sur l'onglet "Contenu" puis onglet "Certificats".
Si vous trouvez ceci, en particulier ,dans "éditeurs approuvés" :
electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"
=> Les supprimer tous.

PS : Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter".
Taper explorer et valider.
Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que
le compte sur lequel on l'exécute, après les avoir passés (les comptes) en mode "administrateur" (sinon navilog1 ne s'exécute pas).

- Désinstaller Navilog1 Via ajout/suppression des programmes --> Navilog1.
- Ensuite supprimer ce dossier : C:\Program Files\navilog1.

Poster le nouveau rapport obtenu sur le forum + un nouveau HijackThis.



Modifié par jacmanou le 12/05/2008 11:57
gregnalex
 Posté le 12/05/2008 à 12:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Il n'y avait rien dans la partie "éditeurs approuvés" ni dans les autres onglets.

Clean Navipromo version 3.5.7 commencé le 12/05/2008 à 12:17:54,71

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "UTILISATEUR"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

C:\WINDOWS\prefetch\qbuei*.pf trouvé !
Copie C:\WINDOWS\prefetch\qbuei*.pf réalisée avec succès !
C:\WINDOWS\prefetch\qbuei*.pf supprimé !


* Suppression dans "C:\Documents and Settings\UTILISATEUR\locals~1\applic~1" *

qbuei.exe trouvé !
Copie qbuei.exe réalisée avec succès !
qbuei.exe supprimé !

qbuei.dat trouvé !
Copie qbuei.dat réalisée avec succès !
qbuei.dat supprimé !

qbuei_nav.dat trouvé !
Copie qbuei_nav.dat réalisée avec succès !
qbuei_nav.dat supprimé !

qbuei_navps.dat trouvé !
Copie qbuei_navps.dat réalisée avec succès !
qbuei_navps.dat supprimé !


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***

C:\Program Files\InternetGamebox ...suppression...
C:\Program Files\InternetGamebox supprimé !


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

...\InternetGamebox ...suppression...
...\InternetGamebox supprimé !


*** Suppression dossiers dans "C:\Documents and Settings\UTILISATEUR\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\UTILISATEUR\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\UTILISATEUR\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\INTERNETGAMEBOX.EXE-1EE9EDEF.pf supprimé !
C:\WINDOWS\INTERNETGAMEBOX_SETUP.EXE-327BBE8C.pf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\UTILISATEUR\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\UTILISATEUR\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 12/05/2008 à 12:23:03,01 ***

gregnalex
 Posté le 12/05/2008 à 12:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voilà le hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:08, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Controle Parental\bin\optproxy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Monopoly%20Here%20and%20Now/Images/stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Monopoly%20Here%20and%20Now/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe

--
End of file - 6896 bytes

jacmanou
 Posté le 12/05/2008 à 12:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Tu as bien bossé, plus d'infection.

Pour finir :

Télécharger Malwarebytes' Anti-Malware (MBAM) : http://www.malwarebytes.org/
L'enregistrer sur le bureau.
Fermer toutes les fenêtres et programmes.

Double-cliquer sur l'icône Download_mbam-setup.exe sur le bureau pour démarrer l'installation.
Suivre les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet).
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
vérifier que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" sont cochées.

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
Comme il se met automatiquement à jour en fin d'installation, cliquer sur OK pour fermer la boîte de dialogue.

Redémarrer l'ordinateur en mode sans échec (F8 au début du démarrage de l'ordinateur), puis lancer MBAM.
[Sous Vista, fermer le programme, et le relancer en faisant clic droit -> Exécuter en tant qu'administrateur]

La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifier que "Exécuter une analyse approfondie" est coché et cliquer sur le bouton Rechercher pour démarrer l'analyse.

L'analyse prendra un certain temps, être patient !
Un message s'affichera, en indiquant la fin .
Cliquer sur OK pour continuer.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Fermer le bloc-note.
Fermer MBAM en cliquant sur Quitter.
Redémarrer l'ordinateur en mode normal et poster le rapport sur le forum.



Modifié par jacmanou le 12/05/2008 12:57
Publicité
gregnalex
 Posté le 12/05/2008 à 12:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je te remercie.

Le lien que tu m's donné ne fonctionne pas.

jacmanou
 Posté le 12/05/2008 à 12:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désolé, lien modifié. Télécharge la dernière version 1.12.
gregnalex
 Posté le 12/05/2008 à 13:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai suivi la démarche mais en sans-échec, c'est en anglais et plus en français.

J'ai quand même lancé l'analyse.

gregnalex
 Posté le 12/05/2008 à 14:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Quand j'ai redémarré le PC, je l'avais bien en français mais plus de trace du compte-rendu.

Par contre, je l'ai lu en anglais avant de redémarer et il n'a vu aucune infection.

jacmanou
 Posté le 12/05/2008 à 14:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok, étonnant cette histoire de changement de langue. Mais l'important c'est qu'il n'y a plus d'infection ! Bravo.

Quelques recommandations sécuritaires :

Il est conseillé vivement d'avoir une protection de chaque type :
- 1 antivirus (Antivir étant très recommandé pour les gratuits)
- 1 antispyware résident (windows defender, spyware terminator, spybot tea-timer, ...)
- 1 antispyware en scan à la demande : MalwareBytes' AntiMalware (recommandé), Spybot, AVG antispyware...
- 1 pare feu personnel : celui d'XP étant plutôt insuffisant, lui en préférer un autre. Mais cela demande un peu de temps et de connaissance : à chacun de voir.

Avast n'offre plus une protection suffisante : lui préférer Antivir.
Avast VS Antivir : http://forum.malekal.com/ftopic3528.php
Télécharger Antivir : http://www.free-av.com/

gregnalex
 Posté le 12/05/2008 à 15:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour tout.

Je vais essayer de faire le changement d'antivirus dans la semaine.

Bonne journée.

adedet
 Posté le 12/05/2008 à 19:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut Jacmanou, je t'ai laissé faire mais il y a des chemin dix fois plus cour. Mis en quarantaine, supprimer,et une restauration du sytèment à date antérieur. Et il retrouve son ordi dans le bon sens de marche. pour anti virus chaqu'un a son choie la dessus.
jacmanou
 Posté le 12/05/2008 à 19:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

@ adedet : la preuve que non, la simple mise en quarantaine du fichier trouvé par avast, n'a pas supprimée l'infection Magic.Control. Navilog1 l'a fait.

Et proposer une restauration système peut faire perdre des données de ce qui a été modifié depuis. On ne propose cela que lorsqu'il n'y a rien d'autre à faire.

N'aide pas les gens si tu n'as pas les connaissances pour !

Cordialement,



Modifié par jacmanou le 12/05/2008 19:10
Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
37,80 €Carte mémoire microSDXC UHS-I SanDisk Ultra 400 Go à 37,80 € livrée
Valable jusqu'au 21 Septembre

Amazon Allemagne propose la carte mémoire microSDHC UHS-I SanDisk Ultra 400 Go à 33,28 € (avec la TVA ajustée). Comptez 4,52 € pour la livraison en France, soit un total de 37,80 € livrée en France. On la trouve trouve ailleurs à partir de 70 €. Cette carte mémoire offre des vitesses jusqu'à 100 Mo/s et est idéale pour les téléphones, caméras et appareils photo HD. Elle est certifiée GoPro, Nintendo Switch et est accompagnée d'un adaptateur SD. 

Une très belle affaire.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
140,71 €Kit de 32 Go (2x16Go) de mémoire DDR4 Corsair Vengeance RGB Pro 3200 MHz à 140,71 € livré
Valable jusqu'au 21 Septembre

Amazon Allemagne fait une promotion sur le kit de 32 Go (2x16  Go) de mémoire DDR4 Corsair Vengeance RGB Pro 3200 MT/s CL16 qui passe à 135,98 € (avec la TVA ajustée) grâce à un coupon de réduction automatiquement appliqué au panier. Comptez 4,73 € pour la livraison en France soit un total de 140,71 € livré. Vous pourrez personnaliser la palette de couleurs directement depuis le logiciel Corsair iCU. On le trouve ailleurs à partir de 165 €.


> Voir l'offre
124,99 €Box Android Nvidia Shield TV 2019 8 Go avec télécommande à 124,99 €
Valable jusqu'au 22 Septembre

Fnac fait une belle promotion sur la box Android Nvidia Shield TV 2019 8 Go avec sa télécommande à 124,99 €. On trouve ailleurs ce pack à partir de 159 €. Compatible FullHD et 4K, vous pourrez utiliser vos applications Android, jouer et regarder des films et des séries en très haute résolution sur votre TV (compatible Kodi, Molotov, Netflix, Disney+, YouTube ...).


> Voir l'offre

Sujets relatifs
cheval de troie détecté
win32/kryptik.eyl cheval de troie que faire
Help, Avast détecte un cheval de troie.
Cheval de troie JS:Packed-D [Trj] detecté
Avast me signale un cheval de troie que faire?
cheval de troie que faire ????
plantage lors scan cheval de troie détecté
comment supprimer Un cheval de troie ks/kryptyk.l
pc infecte par cheval de troie et autres
infection cheval de troie
Plus de sujets relatifs à Cheval de Troie détecté : que faire ?
 > Tous les forums > Forum Sécurité