infection par trojan

[gigabyte]

salut a tous

depuis un certain temps le lecteur c: ne repond pas sauf en clickon sur droit de souris et mettre ouvrir ca c le premier probleme ,deuxieme probleme mon pc au lancement de n'importe quelle application (fire fox,internet ex..) bloque defois pour quelque seconde le curseur de la souris bouge mais ne clique pas ca bloque de quelque seconde,la je ne sais pas si c'est un probleme de ram ou pas (j'ai overclocker mon matos est compris les ram)

bon bref je lance kaspersky aucun trace de virus

je installe avast et la au premier test il detecte un virus win32:trojan-gen (other)

je met reparer ca donne rien alors je le met en quarantaine

une fois en quarantaine j'essaye de le scan (le fichier infecte) et la il me dit que le virus est detruit mais mes deux probleme persiste toujours

alors svp aide moi

je vous poste le rapport de hijakthis

 

Logfile of HijackThis v1.99.1

Scan saved at 09:42:54, on 11/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Program Files\EnhanceKeyboard\kb_2k.exe

C:\Program Files\TechniSat DVB\bin\Server4PC.exe

C:\Program Files\DVBViewerTE\AP Launch.exe

C:\Program Files\Fichiers communs\Sonic Shared\cinetray.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\mideerase.exe

D:\mideerase.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\zerouti\Bureau\hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [jushed.] C:\WINDOWS\svchost.exe

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: enhanced keyboard driver.lnk = ?

O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1176833501234

O17 - HKLM\System\CCS\Services\Tcpip\..\{27F9DF36-4FD1-4C40-9DBB-1D8DBCE3E12A}: NameServer = 208.67.222.222 208.67.220.220

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1a\RpcSandraSrv.exe

[Malekal_morte]

Salut,

 

Vas sur http://upload.malekal.com

Clic sur parcourir et sélectionne : C:\mideerase.exe

Clic sur envoyer.

 

 

 

Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

 

 

Sur HiJackThis, refais un scan et coches les lignes suivantes :

 

O4 - HKLM\..\Run: [jushed.] C:\WINDOWS\svchost.exe

 

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HiJackThis

 

- Télécharge et installe AVG Anti-Spyware - Tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

- Mets le à jour à partir du menu Mise à jour en haut

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

 

 

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.

Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

 

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.

 

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

 

 

Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.

 

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

 

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- AVG Anti-Spyware

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HiJackThis

[gigabyte]

salut

je trouve pas le fichier indique C:\mideerase.exe

bon j'ai telcharger clean zip et avg anti spyware mais il ne fait pas de m.a.j c'est peut etre momentane

[gigabyte]

UP

[Malekal_morte]

Continue sans la maj.

[gigabyte]

salut

sur avg j'ai rien trouve

spybot rien

pour clean:

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 12/05/2007 a 0:58:53,70

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

tentative de suppression de C:\autorun.inf

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de C:\WINDOWS\nsreg.dat

 

*** Suppression des fichiers dans C:\Program Files

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

 

 

sur a-suared j'ai trouve ca:risk ware.risktool.win32pskill.k

et ad-awared y'avait des trucs que j'ai efface

pour l'instant le pc ne bloque pas mais le c: ne souvre toujours pas (click sur boutton droit pour ouvrir)

[Malekal_morte]

-- Ouvre le poste de travail

-- Clic sur le menu outils en haut à droite puis options des dossiers

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"

-- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

 

Ouvre le poste de travail

Fais un clic droit sur le disque C

puis supprime le fichier autorun.inf

 

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

 

Scan en ligne avec Kaspersky :

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.

- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Scan le poste de travail

- Copie/colle le rapport du scan ici

 

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda :

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

[Mathis92]

Ne voulant pas créer un nouveau post, je me permets de vous poster mon scan Hijack...Si quelqu'un pouvait m'aider svp ??

 

En fait, depuis quelque temps ma souris sélectionne tout le texte sur lequel elle se ballade sans que je clique dessus !! Je suppose que c'est un Trojan..mais malgré plusieurs scans avec mon anti-virus, spybot, cleaner, etc....cela persiste...Merci de votre aide par avance

 

 

EDIT MODERATEUR : Merci de bien vouloir créer un nouveau sujet pour exposer ton problème et obtenir de l'aide.

[Malekal_morte]

Gigabyte si tu es là...

J'amerai bien voir le rapport AVG et si tu as ce fichier : C:\WINDOWS\svchost.exe

L'envoyer sur http://upload.malekal.com

[claude.ferraris]

salut

je trouve pas le fichier indique C:\mideerase.exe

bon j'ai telcharger clean zip et avg anti spyware mais il ne fait pas de m.a.j c'est peut etre momentane

 

 

J'ai réussi à supprimer ce "trojan" Mideerase.exe

Deux cas :

1/ le fichier mideerase existe sur la racine de C: avec une dll : VB40032.DLL : les effacer

2/ il' n'existe pas alors passer à la suite

 

Rechercher sur c:\ le fichier autorun.inf et l'effacer

Pour information il contient l'instruction

Shellexecute=mideerase.exe

 

Ceci à pour effet lors d'un double clic sur le volume C: depuis le poste de travail de lancer Mideerase.exe !

C:\ est considéré alors comme un simple CD !

Le fait de faire un click droit puis ouvrir le volume C: depuis le poste de travail lance tout simplement explorer.exe

 

Si vous êtes infectés par mideerase.exe traitez de la même manière vos clefs USB et DD externes.

 

Autre chose, pour information, sur la machine que j'ai eue Mideerase.exe s'est introduit dans le registre

Je n'ai plus la syntaxe exacte mais du type exécution de programme. J'ai pour ma part après une sauvegarde

de registre remplacé mideerase.exe par explorer.exe.

 

Bien entendu je ne saurai être tenu pour responsable si vous faites ce type de manip.

 

Très cordialement.

Claude FERRARIS

VAR INFORMATIQUE SERVICES