> Tous les forums > Forum Sécurité
 VIRUS : WIN32:trojan-gen{UPX}Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
quinquin
  Posté le 02/12/2007 @ 21:35 
Aller en bas de la page 
Petit astucien

bonsoir tous le monde , je poste se message de la part de cocoadsl.

elle viens de choper un virus : WIN32:trojan-gen{UPX} et ne peut plus acceder à son PC , il demarre jusqu'au moment du (bienvenue) et redemarre.

comment peut elle faire pour avoir de nouveau accé au contenu du PC de manière à vous poster un rapport hisjackthis.

WIN32:trojan-gen{UPX} version VPS 071128-0,28/11/2007

je vous remerci par avance.

Publicité
chrifleur
 Posté le 02/12/2007 à 21:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

bonsoir

peut elle aller en mode sans échec?

cocoadsl
 Posté le 04/12/2007 à 13:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

chrifleur, et merci pour l'intérêt que tu me portes, car je suis bien triste pour mon ordi, ça me manque déjà

je me suis connectée sur un autre ordi, alors, oui je peux pour l'instant démarrer en mode sans échec, je dois faire quoi ?

chrifleur
 Posté le 04/12/2007 à 14:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

bonjour

tu te connectes en mode sans échec avec prise en charge réseau et tu télécharges hijack this, tu me postes le rapport obtenu

décris moi le plus exactement possible tes dysfonctionnements

cocoadsl
 Posté le 04/12/2007 à 20:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

voici mon rapport

Logfile of HijackThis v1.99.1
Scan saved at 20:54:01, on 04/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traduire cette page - C:\WINDOWS\WEB\powertoy.htm
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cocoadsl.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

chrifleur
 Posté le 04/12/2007 à 21:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

* fais un scan antivirus en ligne Panda et copie colle le résultat ici
(avec Internet Explorer. Désactive ton antivirus pendant le scan)

* tuto en image


cocoadsl
 Posté le 04/12/2007 à 21:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

merci pour ton aide, j'apprécie beaucoup

j'ai téléchargé panda, mais en plein scan, l'ordi a boggé, je me suis retrouvée avec un écran bleu qui a duré 1 seconde, impossible de lire quoique ce soit, puis il a redémarré et redémarré sans cesse heureusement, pour l'instant en mode sans échec ça marche encore. J'ai l'impression que dès que je met un antivirus en route, l'ordi se met à bogger

je vais retenter l'expérience

chrifleur
 Posté le 04/12/2007 à 21:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

essaie cela

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,

clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

cocoadsl
 Posté le 04/12/2007 à 21:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

je viens de rééssayer en mode sans echec voici le résultat quand j'essaie de cliquer sur "scan" :

une fenêtre s'ouvre elle dit "une erreur est survenue C:\document and settings\administrateur.PCCORINE003\local settings\Temp\

puis ça dit sur le site même de panda :

An error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try again
Possible causes of this error are:

Not allowing the application's ActiveX control to be downloaded.

Problems with the Internet connection.

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,...
Publicité
chrifleur
 Posté le 04/12/2007 à 21:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

cela ressemble à du bagle, désactivation des antivirus, impossibilité de les utiliser....essaie ce que je t'ai mis plus haut...
cocoadsl
 Posté le 04/12/2007 à 21:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

descargar elibagla vient de terminer, mais je n'ai absolument rien dans le carré blanc, aucun texte, je clique sur "salir" pour l'obtenir ?

par contre dans le résumé il dit "fichiers infectés" : 0 comment ça se peut ?



Modifié par cocoadsl le 04/12/2007 21:52
chrifleur
 Posté le 04/12/2007 à 21:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

on cherche ailleurs

télécharge GenProc de Lazzzy et Narco4 sur ton bureau

http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

cocoadsl
 Posté le 04/12/2007 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

je l'ai téléchargé, mais quand je clique sur genproc, (j'ai pas celui avec .bat) il me dit "windows\system32\cmd.exe : il manque un ou plusieurs fichiers nécessaires au fonctionnement, je suis donc allée le chercher sur internet, mais ça me donne aussi la même réponse quand je double clic

cocoadsl
 Posté le 04/12/2007 à 22:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

rien à faire, j'ai tenté plusieurs manières, mais il dit : 1 -veuillez fermer cette fenêtre

2 - supprimer la totalité du dossier GenProc ainsi que le fichier GenProc.zip

3 - suivre ces indications : http://alt-shift-return.org/Info/GenProc-howTo.html

appuyer sur une touche pour continuer...

cocoadsl
 Posté le 04/12/2007 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
fais flic, panda avait réussi à faire le scan et j'attendais la réponse, mais voilà ti pas que la "page est introuvable" grrrrrrrrr
chrifleur
 Posté le 05/12/2007 à 08:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

désolée pour hier soir, coupure de courant...

où en est tu ?

qu'avait donné le scan panda? le rapport s'appelle activscan

cocoadsl
 Posté le 05/12/2007 à 21:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

chrifleur

j'ai fais un scan avec Panda ce soir car hier ça ne passait pas, ça a marché, mais au moment d'afficher le rapport avec toutes les bébettes, la page internet était introuvable. J'ai juste eu le temps de voir que j'avais 7 spyware et 1 hacking tools dans mon pc.

je referais un scan demain, il a mis plus d'une heure avant de se terminer, j'enrage

Publicité
chrifleur
 Posté le 05/12/2007 à 21:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

pas de chance décidément...

à demain donc

cocoadsl
 Posté le 06/12/2007 à 18:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

décidément je suis maudite, aujourd'hui panda me demande un mot de passe pour faire le scan... de mieux en mieux ! pffff

chrifleur
 Posté le 06/12/2007 à 18:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

on va essayer autre chose, pas la peine de s'obstiner...on n'avance pas

tu es toujours en mode sans échec ?

télécharge Antivir

mets la à jour

scannes ton Pc avec et poste le rapport obtenu avec un rapport hijack this

cocoadsl
 Posté le 06/12/2007 à 20:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

chrifleur

avant de lire ta réponse, j'ai fais analyser mon ordi par 2 antivirus en ligne (j'ai désactivé Avast)

le premier était Panda Total Scan

il a trouvé : hkey_current_user\sofwar...orer\main\search page_bak

C\Documents and Setting...ookies\corine@xiti[1].txt

le deuxième scan avec Bitdefender online scanner V8

il a trouvé : C\TELECHARGEMENTS\backups\backups-20050110-133446-635.inf : infecté par Trojan.Downloader.Istbar.PY

C\TELECHARGEMENTS\backups\backups-20050110-133446-635.inf : échec de la désinfection

C\TELECHARGEMENTS\backups\backups-20050110-133446-635.inf : supprimé

j'ai réussi à redémarrer sans mode sans échec, mais ma connection internet ne tient pas longtemps, je me dépèche avant que je sois obligée de redémarrer. Je vais faire ce que tu me dis et je te dis



Modifié par cocoadsl le 06/12/2007 20:47
chrifleur
 Posté le 06/12/2007 à 20:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

pense à désactiver avast le temps du scan avec antivir...2 antivirus cela ferait des étincelles
cocoadsl
 Posté le 06/12/2007 à 21:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
le téléchargement de l'antivirus m'a fait bogguer une énième fois. il es en route, je vais attendre le résultat, que penses tu de ce que j'ai mis dans mon précédent post ?
chrifleur
 Posté le 06/12/2007 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

hkey_current_user\sofwar...orer\main\search page_bak

C\Documents and Setting...ookies\corine@xiti[1].tx

c'est un cookies pas grave

C\TELECHARGEMENTS\backups\backups-20050110-133446-635.inf : infecté par Trojan.Downloader.Istbar.PY

C\TELECHARGEMENTS\backups\backups-20050110-133446-635.inf : échec de la désinfection

C\TELECHARGEMENTS\backups\backups-20050110-133446-635.inf : supprimé

c'est supprimé

maintenant il faut voir si antivir trouve ou pas quelque chose

lorsque le Pc bogue, as tu un message qui s'inscrit? arrives tu maintenant à démarrer normalement?

cocoadsl
 Posté le 06/12/2007 à 21:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne
oui je démarre normalement, mais au moindre truc que je fais, par exemple ouvrir 2 programmes simultanément, (tout à l'heure je parlais avec toi sur pca, et je téléchargeait antivir) eh bien l'ordi redémarre tout seul, mais après, il ne redémarre pas normalement, il redémarre et redémarre, jusqu'à ce que moi j'arrête à la colonne avec le bouton de démarrage.
chrifleur
 Posté le 06/12/2007 à 21:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

cocoadsl a écrit :



The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,...

ton disque dur est il beaucoup rempli?

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
49,99 €Manette Microsoft Xbox One sans fil + adaptateur pour PC à 49,99 €
Valable jusqu'au 27 Février

Amazon fait une promotion sur la manette Microsoft Xbox One sans fil + adapateur pour PC qui passe à 49,99 € livrée gratuitement alors qu'on la trouve ailleurs à partir de 60 €.  Sur Xbox One, la connexion se fera directement sans fil et sur PC, il vous suffira de brancher l'adaptateur bluetooth fourni pour en profiter aussi. Si vous avez déjà le bluetooth sur votre ordinateur, vous pouvez prendre la version sans adaptateur qui coûte 10 € de moins.


> Voir l'offre
20,45 €Carte mémoire microSDXC UHS-I SanDisk A1 Ultra 128 Go à 20,45 €
Valable jusqu'au 28 Février

Amazon propose actuellement la carte mémoire microSDXC UHS-I SanDisk A1 Ultra 128 Go à 20,45 € livrée gratuitement. Cette carte mémoire offre des vitesses jusqu'à 100 Mo/s et est idéale pour les téléphones, caméras et appareils photo HD. Elle est certifiée GoPro et Switch.


> Voir l'offre
92,35 €Disque dur externe portable Maxtor M3 USB 3.0 4 To à 92,35 €
Valable jusqu'au 28 Février

Amazon propose actuellement le disque dur externe portable Seagate M3 4 To à 92,35 € livré gratuitement. Le disque dur dispose d'une connectique USB 3.0 compatible USB 2.0 et offre des débits d'environ 115 Mo/s en lecture et écriture. Seagate ayant racheté les branches disques durs de Samsung et Maxtor, vous pouvez donc trouver le logo Maxtor, Samsung ou Seagate sur ce disque dur M3. 


> Voir l'offre

Sujets relatifs
virus trojan-gamethief.win32.magamania.dlek
Kis:Virus HEUR Trojan-downloader.win32.generic
virus trojan win32 vaklik détecté par ad aware
virus Heur : Trojan.Win32.StartPage
comment se débarrasser du virus trojan.win32.agent
Win32.trojan-gen(other) virus/ver dans un .exe
virus win32 botva-H trojan !
virus Win32:Trojan-gen {Other} insuprimable
virus trojan:win32/Vundo.gen!C
Virus Win32: Trojan-gen (Other)+Rootkit-Gen [Rtk]
virus Win32:Trojan-gen {Other} aidez moi !!!
Plus de sujets relatifs à VIRUS : WIN32:trojan-gen{UPX}
 > Tous les forums > Forum Sécurité