[résolu]infection trojan inconnu!

[nicol]

bonjour,

voici mon probléme:

 

depuis peu mon antivirus (antivir) détecte un toyen ( TR/Dldr.Del.dbo.1.a ) dans le fichier windows/systéme32/auth.dll mais ne peu ni le supprimer ni le mettre en quarantaine parcequ'il n'y a pas accés.(même mode sans échec)

Chose étonnante; ce troyen n'existe apparament pas dans la base de donné d'antivir! alors pourquoi le détecte-il ?

 

J'ai suivi la procédure de prénettoyage indiqué sur le site à la lettre et voici mantenant mon rapport hijackthis si vous pouviez trouver la solution SVP:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:25:25, on 30/11/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.orange.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

 

Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -

 

C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {8C5522E7-E39F-4824-8CDE-C29E8EEA69F8} -

 

C:\WINDOWS\System32\auth.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

 

C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe

 

TaskBarIcon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

 

C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

 

C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe

O4 - HKLM\..\Run: [soundFusion] RunDll32 hercplgs.cpl,BootEntryPoint

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone

 

Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper

 

Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

 

Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe

 

appLaunchClientZone.shl|PARAM= cnx

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User

 

'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User

 

'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User

 

'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User

 

'Default user')

O4 - Startup: Diskeeper 10 Professional Edition Registration.lnk = C:\Program

 

Files\Diskeeper Corporation\Diskeeper\ESIRegister.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

 

C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

 

C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links -

 

{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} -

 

http://www.orange.fr (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

 

http://www.update.microsoft.com/windowsupd.../x86/client/wuw

 

eb_site.cab?1195322359371

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) -

 

http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

http://a840.g.akamai.net/7/840/537/2005111...icro.com/housec

 

all/xscan53.cab

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper

 

Corporation\Diskeeper\DkService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France

 

Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

 

C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

 

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 4565 bytes

Modifié le 5 décembre 2007 par nicol

[nicol]

troyen TR/Dldr.Del.dbo.1.a Inconnu !!

 

Ya quelqu'un??

Quelqu'un peut m'aider????

HELP !!

[Zonk]

troyen TR/Dldr.Del.dbo.1.a Inconnu !!

 

Ya quelqu'un??

Quelqu'un peut m'aider????

HELP !!

Allô

Commence par ceci

Télécharger ATF Cleaner par Atribune.(petit programme sans danger qui ne s'installe pas..il ne fait que s'exécuter

....parfois avec des ordis moins performants,le nettoyage est lourd....alors si tu veux alléger la tache,va y deux cases à la fois et fait "Empty selected"......

Nettoyeur ATF

 

 

Installe-le sur le bureau.

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois..mais fait toutes les cases )

Cliquez sur le bouton Empty Selected

 

ça ressemble en grande partie à ce que tu as fait .....mais on aura un point de départ...

http://forum.zebulon.fr/index.php?showtopic=83986

@+

édit: ton XP est terriblement pas à jour!!!!!! ...à faire une fois désinfecté....et tu as des logiciels non sécure coté version....je reviens avec les démarches que tu devras faire une fois propre...pas avant!

édit:

Faudrait vérifier si tu as des programmes non-sécures coté version

http://secunia.com/software_inspector/

et coche la petite case à

 

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

 

suite au résultat tu n'as qu'a suivre à la lettre les recommandations (facile)

Modifié le 30 novembre 2007 par Zonk

[Zonk]

Pour ATF (mon lien amène sur un site en difficulté) alors au message #1 d'Angélique,tu auras le téléchargement dans sa signature

http://forum.zebulon.fr/index.php?showtopi...p;#entry1123211

@+

édit: désolé de t'avoir référer le pré-nettoyage.....je viens de voir que tu l'as déja fait

s'cuser moi

reste à attendre le renfort de l'Équipe Sécurité....

Modifié le 30 novembre 2007 par Zonk

[nicol]

impossible d'executer le scan en entier car mon pc plante avant la fin ...

J'ai tout de meme viré 3 softs qui étaient aparement unsecure...

mais le trojan est toujours là!...

[angelique]

*Presente ton rapport Hijackthis mieux que ça STP!! si tu veux qu'un conseiller intervienne.

*antivir reagit sur:

O2 - BHO: (no name) - {8C5522E7-E39F-4824-8CDE-C29E8EEA69F8} - C:\WINDOWS\System32\auth.dll

 

il serait bon de faire analyser la dll chez Jotti >> http://virusscan.jotti.org/

et d'en donner le résultat.

 

*un vulgaire windows XP non Maj !! meme pas pas sp1!! version crackée?? ça sert vraiement à rien de tourner sur des OS comme ça [XP] sans au minimum le sp1 et derriere routeur...et encore!

 

-------------------------------

 

ceci pour UP ton message pour un conseiller sécu

[nicol]

*Presente ton rapport Hijackthis mieux que ça STP!! si tu veux qu'un conseiller intervienne.

*antivir reagit sur:

O2 - BHO: (no name) - {8C5522E7-E39F-4824-8CDE-C29E8EEA69F8} - C:\WINDOWS\System32\auth.dll

 

il serait bon de faire analyser la dll chez Jotti >> http://virusscan.jotti.org/

et d'en donner le résultat.

 

*un vulgaire windows XP non Maj !! meme pas pas sp1!! version crackée?? ça sert vraiement à rien de tourner sur des OS comme ça [XP] sans au minimum le sp1 et derriere routeur...et encore!

 

-------------------------------

 

ceci pour UP ton message pour un conseiller sécu

 

 

 

voila le resultat du scan jotti :

 

Scan taken on 30 Nov 2007 18:43:33 (GMT)

A-Squared Found nothing

AntiVir Found TR/Dldr.Del.dbo.1.A

ArcaVir Found Trojan.Downloader.Delf.Dbo

Avast Found nothing

AVG Antivirus Found Downloader.Generic6.WBG

BitDefender Found Trojan.Spy.Bzub.NGP

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found Trojan.DownLoader.37340

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found Trojan-Downloader.Win32.Delf.dbo

Fortinet Found W32/Delf.DBO!tr.dldr

Ikarus Found Trojan-PWS.Win32.Lmir

Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Delf.dbo

NOD32 Found probably a variant of Win32/Adware.BHO.NBI application (probable variant)

Norman Virus Control Found W32/Delf.BCCW

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found Trojan-Downloader.Win32.Delf.dbo

 

 

je vien juste de formater et de réinstaller; promis je met à jour dés que le problème est réglé...

[angelique]

je vien juste de formater et de réinstaller; promis je met à jour dés que le problème est réglé...

 

Nul besoin de formater sur ce genre d'infection ..............IL faut juste présenter ton rapport correctement ...des outils sont développés pour ton infection.

[Zonk]

Selon moi ,cet item est virulent....

petit point: quand un disque est infecté le formatage rapide de Microsoft n'est pas le meilleur formatage pour supprimer toutes les pestes......ça peut arriver que ça suffise....mais souvent non...et les ennuis ressortent

La mise à zéro est préférable......la mise à zero est pour plusieurs fabriquants de disques durs ,synonyme de formatage de bas niveau.....donc idéalement de chercher l'outil pour faire une mise à zéro (qui remet le disque comme à la sortie de l'usine)

le formatage de bas niveau est très efficace pour effacer un disque dur mais plutôt recommander dans les cas ou un disque dur rencontre un problème physique.....(et le formatage de bas niveau est long ....et il ne doit pas y avoir de coupure de courant !!)

Modifié le 30 novembre 2007 par Zonk

[angelique]

<br /><font color="#0000FF">Selon moi ,cet item est virulent....<br />petit point: quand un disque est infecté le formatage rapide de Microsoft n'est pas le meilleur formatage pour supprimer toutes les pestes......ça peut arriver que ça suffise....mais souvent non...et les ennuis ressortent<br />La mise à zéro est préférable......la mise à zero est pour plusieurs fabriquants de disques durs ,synonyme de formatage de bas niveau.....donc idéalement de chercher l'outil pour faire une mise à zéro (qui remet le disque comme au jour 1)<br />le formatage de bas niveau est très efficace pour effacer un disque dur mais plutôt recommander dans les cas ou un disque dur rencontre un problème physique.....(et le formatage de bas niveau est long ....et il ne doit pas y avoir de coupure de courant !!)</font><br />

<br /><br /><br />

 

heu!! un Low level Format sur un "type" Vundo c'est de l'abus