Comprendre le bitcoin, l'intelligence artificielle, faire un site web... En 3 minutes en vidéo!

demande d'aide pour trojan downloader win32

Forum informatique > Aide Virus, Spywares et autres logiciels malveillants > demande d'aide pour trojan downloader win32

<<<1>>>

[Page 1 sur 1 - 9 messages]
Informations Messages

dafloji

Avatar de dafloji
47 messages
Disquette
Disquette

Lien direct Le 20 Mai 2007 à 11h41

 

Publicité

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 20 Mai 2007 à 12h03

Bonjour dafloji et bienvenue sur AidoForumClin d'oeil

Tu es effectivement infecté ...
Sais-tu pourquoi tu as utilisé FixWareOut ??
Il n'est vraiment pas conseiller d'utiliser des outils sans savoir ce qu'ils font sur ton systeme, tu peux le rendre instable voir le planter completement (le systeme).
En l'occurence, tu as bien fait, tu étais infecté par WareOut ... cela dit, stp, ne prends pas d'initiative pour qu'on puisse bien suivre la désinfection.

Tu utilises hijackthis version 2.0 BETA de TrendMicro ... celle ci n'est pas conseillé pour l'instant, comme son nom l'indique c'est une version BETA, donc non finalisée, qui demande encore des developpement, contente toi de la version 1.99.1 stp ...

Peux-tu suivre, stp, la procédure de pré-nettoyage.

Bonne journéeClin d'oeil

 

dafloji

Avatar de dafloji
47 messages
Disquette
Disquette

Lien direct Le 20 Mai 2007 à 20h40

bah en faite j'ai utiliser fixwareout car je me suis renseigné sur le virus que j'avais choppé, car j'avais le nom. c'est sur que c'est pas tres malin de ma part de prendre n'importe quoi (je suis trop bidouilleur malheureusement pour mon PC^^)
apres merci pour ces conseil , je pensais pas qu'une version beta pouvait etre aussi "dangeureuse"

donc apres la procedure voici les rapports :
celui de clean:

20/05/2007 a 20:15:52,93

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\ALCXMNTR.EXE FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

celui de avg (que j'ai fait deux fois car j'ai du areter la premiere fois :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 14:45:47 20/05/2007

+ Résultat de l'analyse:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Downloaded Program Files\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Abcsearch : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Sexcounter : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Specificclick : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][2].txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.20:C:\Documents and Settings\florian\Application Data\Mozilla\Firefox\Profiles\oc2drtpl.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Webtrendslive : Nettoyé.
C:\Documents and Settings\florian\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport

(le deuxieme)

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 20:03:03 20/05/2007

+ Résultat de l'analyse:



:mozilla.20:C:\Documents and Settings\florian\Application Data\Mozilla\Firefox\Profiles\oc2drtpl.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyé.


Fin du rapport

et enfin celui de hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 20:14:34, on 20/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ps2.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\OV530EM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\TribalWeb.net\tribalweb.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Documents and Settings\florian\Mes documents\hijackthis\aidoforum.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Ovt Wia] C:\WINDOWS\OV530EM.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8392584916
O17 - HKLM\System\CCS\Services\Tcpip\..\{39F4A2A8-6970-41C4-8445-C8FE8E1906AC}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD77950-D0E8-4C1E-895E-85D2B8C6E687}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FC78433-E85B-49F3-BBD3-3713796E6D42}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4229AAF-60C5-44A2-92B5-E8B0F8ADF943}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BEA6D3-B85D-48DD-B5F5-3785A9C0CDF3}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{39F4A2A8-6970-41C4-8445-C8FE8E1906AC}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{39F4A2A8-6970-41C4-8445-C8FE8E1906AC}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.14
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe



voilaClin d'oeil et merci beaucoup de ton aide aussi rapide^^Content

(petite edit : je crois que j'ai fait encore une connerie vu que les lignes 017 sont toujours presente, j'ai du remettre les registres que j'avais sauvegardé avec fixwareout, donc le hijackthis ne doit pas etre bon, j'attend ta/votre confirmation pour réglé ce dernier probleme^^.
je susi trop nul Pleure )

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 20 Mai 2007 à 22h21

BonsoirClin d'oeil

C'est tres bien d'apprendre seul, mais c'est encore mieux d'avoir des confirmations.Sourire

Citation

je pensais pas qu'une version beta pouvait etre aussi "dangeureuse"


Ce n'est pas quel est dangereuse, mais pas encore finalisée et pas franchement fonctionnel pour nous les helpers.

    [*:rttcy4ty]Télécharge le FixWareout, de LonnyRJones, d'un de ces deux sites sur le bureau:
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe[/*:m:rttcy4ty]
    [*:rttcy4ty]Lance fixWareOut : clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. [/*:m:rttcy4ty]
    [*:rttcy4ty]Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.[/*:m:rttcy4ty]
    [*:rttcy4ty]Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes :[/*:m:rttcy4ty]


Citation

O17 - HKLM\System\CCS\Services\Tcpip\..\{39F4A2A8-6970-41C4-8445-C8FE8E1906AC}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD77950-D0E8-4C1E-895E-85D2B8C6E687}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FC78433-E85B-49F3-BBD3-3713796E6D42}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4229AAF-60C5-44A2-92B5-E8B0F8ADF943}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BEA6D3-B85D-48DD-B5F5-3785A9C0CDF3}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{39F4A2A8-6970-41C4-8445-C8FE8E1906AC}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{39F4A2A8-6970-41C4-8445-C8FE8E1906AC}: NameServer = 85.255.116.149,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.149 85.255.112.14


    [*:rttcy4ty]Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.[/*:m:rttcy4ty]
    [*:rttcy4ty]A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.[/*:m:rttcy4ty]
    [*:rttcy4ty]Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.[/*:m:rttcy4ty]



Bonne soiréeClin d'oeil

 

dafloji

Avatar de dafloji
47 messages
Disquette
Disquette

Lien direct Le 21 Mai 2007 à 19h21

salut cette fois ca doit etre bon^^

fixwareout :


Fixwareout Last edited 5/15/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»»

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.


Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other

»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcxMonitor"="ALCXMNTR.EXE"
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"PS2"="C:\\WINDOWS\\system32\\ps2.exe"
"HP Software Update"="C:\\Program Files\\Hp\\HP Software Update\\HPWuSchd2.exe"
"Ovt Wia"="C:\\WINDOWS\\OV530EM.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe\""
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"WOOKIT"="C:\\PROGRA~1\\Wanadoo\\Shell.exe appLaunchClientZone.shl|PARAM= cnx"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»


et hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 19:13:07, on 21/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ps2.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\OV530EM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\TribalWeb.net\tribalweb.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\florian\Mes documents\hijackthis\aidoforum.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Ovt Wia] C:\WINDOWS\OV530EM.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8392584916
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe





mais par contre dans la manip que tu me donnes , j'ai pas eu besoin de cocher les lignes et de les supprimer. et j'ai du changer aussi l'adresse des serveur DNS car il y avait toujours l'adresse du style 85.255.116.149 .
a cause de cela j'avais plus acces a internet mais j'ai remis les adresse de mon fournisseur et c'est repartiClin d'oeil. (je pari que tu va me redire de ne pas trop faire ca seul, vraimen désolé ^^)

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 22 Mai 2007 à 10h10

BonjourClin d'oeil

    [*:2607jo53]Cliques sur Démarrer --> Exécuter[/*:m:2607jo53]
    [*:2607jo53]Saisis : Services.msc puis OK[/*:m:2607jo53]
    [*:2607jo53]Choisir le mode "Etendu" (onglets inférieurs)[/*:m:2607jo53]
    [*:2607jo53]Grâce à la barre de défilement (à droite) rechercher le service suivant:[/*:m:2607jo53]


Code

France Telecom Routing Table Service


    [*:2607jo53]Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).[/*:m:2607jo53]
    [*:2607jo53]Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
    puis déroule le Type de Démarrage pour le modifier en Désactivé[/*:m:2607jo53]
    [*:2607jo53]Clique sur Appliquer puis OK[/*:m:2607jo53]


    [*:2607jo53]Lance Hijackthis, choisir Open the Misc.Tools section
    la fenêtre "Configuration" va s'ouvrir[/*:m:2607jo53]
    [*:2607jo53]Clique sur Delete a NT service...
    la fenêtre "Delete a Windows NT service" va s'ouvrir[/*:m:2607jo53]
    [*:2607jo53]Entre dans la zone de dialogue :
    FTRTSVC
    Note : assures-toi de ne mettre d'espace, ni avant, ni après ![/*:m:2607jo53]
    [*:2607jo53]Cliquer OK[/*:m:2607jo53]
    [*:2607jo53]Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
    Clique NO[/*:m:2607jo53]



    [*:2607jo53]Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.[/*:m:2607jo53]
    [*:2607jo53]Choisis l'option 2 et appuie sur Entrée pour valider.[/*:m:2607jo53]
    [*:2607jo53]Copie/colle moi le rapport qui apparait dans ta prochaine réponse.[/*:m:2607jo53]



Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

Citation

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

Plus de dysfonctionnements ?

Bonne journéeClin d'oeil

 

dafloji

Avatar de dafloji
47 messages
Disquette
Disquette

Lien direct Le 22 Mai 2007 à 19h20

voici le rapport et a premiere tout va bien , merci enormement

Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 22/05/2007 a 19:07:03,90

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\ALCXMNTR.EXE
Impossible de supprimer C:\WINDOWS\ALCXMNTR.EXE

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


merci encore Sourire Sourire Sourire et bonne soirée a toi

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 22 Mai 2007 à 21h08

 

dafloji

Avatar de dafloji
47 messages
Disquette
Disquette

Lien direct Le 22 Mai 2007 à 22h15

merci beaucoup
t'inquiete j'irai sur malware complaint^^(bientot le weekClin d'oeil )
et encore merci de toutes ces aides et conseils, franchement rien a dire Content Content Content

 

<<<1>>>

[Page 1 sur 1 - 9 messages]

Forum informatique > Aide Virus, Spywares et autres logiciels malveillants > demande d'aide pour trojan downloader win32