[Résolu] Infection par Trojan (cheval de Troie)

fire_man · le 2 juin 2005

bonsoir a tous,

Je me permet de vous solliciter car vous m avez l air etre au poil en ce qui concerne les virus et etc... Voila j utilise xp home edition avec sp 2 et depuis peu je me suis fait attaquer par une salo.... ca s appelle elitetoolbar je pense m en etre debarasse mais chui pa sur.

De plus suivant la proccedure indiquee sur le forum pour poster un log Hijackthis j ai fais une analyse avec mon antivirus (bitdefender) et a trouvé : trojan starpage NK. Avec l antivirus en ligne propose sur le forum, il a trouvé: troj starpag.QY

bien evidemment avant de faire un scan j ai fais chauffer spybot, adware et SpySubtract et nettoyer les dossiers Temp

Logfile of HijackThis v1.99.1

Scan saved at 20:27:27, on 02/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\mHotkey.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\GREGORY BOULENZOU.GREGORY.000\Mes documents\Nouveau dossier\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [bDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [bDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.ceget...FAutoConfig.ocx

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CS2\Services\Tcpip\..\{04CDA847-CE0E-4119-8791-FF248D5C7ADF}: NameServer = 217.19.192.132 217.19.192.131

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Client de licence CA (CA_LIC_CLNT) - Philips Semiconductors - (no file)

O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Philips Semiconductors - (no file)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - (no file)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

J espere que vous pourrais voire si ca cloche quelque par ou pas du tout

Merci a vous ,bonne soirée. :-(

le 2 juin 2005

Bonsoir, je regarde ton rapport réponse dans un moment. A priori pas grand-chose quelques retouches.

ipl_001 · le 2 juin 2005

Bonsoir fire_man, bonsoir à tous,

Je te souhaite la bienvenue sur Zebulon ! Merci de venir sur notre forum !

Bonsoir Stonangel ! Tu m'as encore devancé ! :-(

Non, rien d'infectieux... des bricoles!

fire_man · le 2 juin 2005

ok merci d avance. Vous etes cool sur ce forum...

douds · le 2 juin 2005

ok merci d avance. Vous etes cool sur ce forum...

511786[/snapback]

Euuuuhhh :-P ... ça dépend :-( :-P :-P

(psssssiiiitttt ... fait gaffe aux modos quand même) ... hein ipl_001 :-P quoi ?

le 2 juin 2005

Re, installe Hijackthis correctement. Navigue jusqu'à C:\Program files et ouvre un nouveau dossier. Nomme le HJT par exemple et dézippe Hijackthis dans ce dossier. Tu obtiendras le chemin suivant:

C:\HJT\Hijacckthis.exe

Démarre Hijackthis Do a system scan only, assure toi que l'option Make Backups before fixing items est activée et coche les lignes suivantes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.ceget...FAutoConfig.ocx

Ferme tous les programmes toutes les fenêtres puis clique sur Fix checked.

Redémarre et poste un nouveau rapport pour verification.

Dans les processus je vois tourner BitDefender et e-Trust. Il faut choisir entre les deux.

Edit: Bonsoir ipl

Modifié le 2 juin 2005 par Stonangel

fire_man · le 2 juin 2005

Ok merci a toi, je vais suivre tes indicationset je te tiens au courant.

a+

fire_man · le 2 juin 2005

Re,

voila mon nouveau rapport:

Logfile of HijackThis v1.99.1

Scan saved at 22:56:06, on 02/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\mHotkey.exe

C:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

c:\Program Files\interMute\SpySubtract\SpySub.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\DOCUME~1\GREGOR~1.000\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe