Trojan : Win32:StartPage-216 [Trj] resolu

[CIOCC]

Bonjours à tous les Zebulonien

 

 

Après 6 mois de tranquilité coté Virus, me voici de retour avec une alerte au Cheval de Troie détecté par Avast. Quand je me connecte à Internet, Avast détecte (une fois sur 3) un Cheval de Troie

 

Fichier : C:\WINDOWS\TEMP\258B\NAIUPD.000\tmpfile

Non du Logiciel : Win32:StartPage-216 [Trj]

Type : Cheval de Troie

Version VPS : 0636-2, 07/09/2006

 

Hier j'ai fait un scan Ewido (pas en mode sans Echec) et Kaspersky, RAS

 

Ci-dessous mon HJT

 

Logfile of HijackThis v1.99.1

Scan saved at 21:07:44, on 07/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\arservice.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\ps2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\HP_Administrateur\Bureau\HijackThis.exe

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

Merci par avance de l'analyse et conclusion.

 

A+

 

Ciocc

 

 

 

Grand meci à tous et bonne continuation.

 

Ciocc

Modifié le 10 septembre 2006 par CIOCC

[bruce lee]

bonjour CIOCC

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

4/ redemarre en mode normal et dis moi ce que ca donne

 

@+

 

EDIT: je vois qu'il y a Mcafee, et avast, lequel des deux utilises tu?

Modifié le 7 septembre 2006 par bruce lee

[CIOCC]

Bonjour Bruce Lee

 

 

J'ai en effet Avast et Mc Afee. A priori les 2 ont l'air de cohabiter, enfin j'espère.

 

Je viens de charger EasyCleaner.

 

A+

 

Ciocc

[bruce lee]

re,

 

il te faut supprimer un de tes anti virus, il y a risque de conflit.

 

@+

[CIOCC]

re,

 

il te faut supprimer un de tes anti virus, il y a risque de conflit.

 

@+

 

 

Ok, dois-je le faire avant EasyCleaner?

 

Ciocc

[bruce lee]

re,

 

comme tu veux.

[CIOCC]

re,

 

comme tu veux.

 

 

Re,

 

J'ai fait un nettoyage mais cela n'a pas réellement fonctionné.

 

Registre : Ok

Inutile : il en reste 13 , EasyCleaner plant à chaque fois

 

Ciocc

[bruce lee]

bonjour CIOCC,

 

 

1/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

2/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

3/ rend toi ici:

 

C:\WINDOWS\TEMP

 

ouvre le dossier TEMP et supprime tout ce qu'il y a dedans.

 

4/ vide ta corbeille

 

5/ redemarre en mode normal et dis moi si tu as encore des alertes ou non.

 

 

@+

[CIOCC]

bonjour CIOCC,

1/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

2/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

3/ rend toi ici:

 

C:\WINDOWS\TEMP

 

ouvre le dossier TEMP et supprime tout ce qu'il y a dedans.

 

4/ vide ta corbeille

 

5/ redemarre en mode normal et dis moi si tu as encore des alertes ou non.

@+

 

Bonsoir Bruce Lee

 

Je viens de faire la manip, et le cheval de Troie revient avec le même message de la part de Avast. Je suis allé voir dans Window/Temp et il a un bon nombre de fichier et 2 répertoires qui se crées

 

_avast4_

2709

Plus 3 fichiers

 

Peut-être que ta remarque sur le conflit Avast/Mc Afee peut être une raison. Dois-je maintenant supprimer Avast. Je préfère supprimer Avast car il est gratuit sur le net.

 

Depuis que j'ai installé Mc Afee, je n'ai eu aucun message. Seul Avast m'indique la présence de virus. J'espère que Mc Afee fonctionne bien. Il y t-il un moyen de le vérifier quand j'aurais supprimer supprimé Avast.

 

Merci pour ton aide

 

A+

 

Ciocc

 

 

 

Ton idée de conflis Avast Mc Afee est peut être la raison. Dans window Temp il y avait un

[bruce lee]

re,

 

Si tu n'as toujours pas supprimés un des des deux antivirus, fais le maintenant.

 

@+