Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

trojan irradication impossible

monostress

Par monostress
dans Analyses et éradication malwares

 Partager

Messages recommandés

monostress Member

monostress

Posté(e)
Posté(e)

j'ai attraper le virus pphc51aj0e901.exe mais je ne sai pas si c'est un i ou un j ou autre symbole devant 0e901.exe .

j'ai essayé avec Avast et Unlocker mais impossible de le supprimer , il est placer dans le dossier system 32 .

je n'arrive plus a utiliser ctrl+alt+suppr . mon pc devient de plus en plus bloquer .

aider moi svp merci d'avance de votre aide .

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:35:53, on 24/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\wt\updater\wcmdmgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\Program Files\TOPRO\TPPOLL.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\lphc51aj0e90l.exe

C:\Program Files\rhc11aj0e90l\rhc11aj0e90l.exe

C:\WINDOWS\system32\sysrest32.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\idyfozmj.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe

C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe

C:\DOCUME~1\COMPAQ~1\MESDOC~1\BEATRI~1\hijackthis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getbackpage.com/?cm=44543&l...euxcherche.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILE...dclLCAiVkN8Cb+0

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.0.0.138/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {24aaf56a-1dd2-11b2-a195-8ca74144eb23} - (no file)

O2 - BHO: (no name) - {62649F82-DA45-4665-AB6F-4A88A8DF0FCC} - (no file)

O2 - BHO: (no name) - {6AFBC07F-28F0-4DC5-B5DC-9CAA9B696344} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [tppoll] C:\Program Files\TOPRO\TPPOLL.EXE

O4 - HKLM\..\Run: [lphc51aj0e90l] C:\WINDOWS\system32\lphc51aj0e90l.exe

O4 - HKLM\..\Run: [sMrhc11aj0e90l] C:\Program Files\rhc11aj0e90l\rhc11aj0e90l.exe

O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [chken] C:\WINDOWS\system32\idyfozmj.exe

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe

O4 - HKLM\..\Policies\Explorer\Run: [xy287uiBjl] C:\DOCUME~1\COMPAQ~1\MESDOC~1\BEATRI~1\adobeflashplayerext.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Global Startup: .protected

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?68e08020ecca4d898c149135692e399d

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?68e08020ecca4d898c149135692e399d

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.gateietool.com/redirect.php (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{30801464-EB73-42E5-8708-980AEB98CBA4}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CCS\Services\Tcpip\..\{59193F7B-DFF4-4A8F-BA8A-8404487AF904}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CCS\Services\Tcpip\..\{711F9083-1904-425D-8B74-F75C1EF5E4AC}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CCS\Services\Tcpip\..\{CAB3E1E4-C117-44E3-B1C5-BB696159621B}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.201

O17 - HKLM\System\CS1\Services\Tcpip\..\{30801464-EB73-42E5-8708-980AEB98CBA4}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.201

O20 - Winlogon Notify: RelevantKnowledge - C:\WINDOWS\system32\rlls.dll

O20 - Winlogon Notify: vtUoonnl - vtUoonnl.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

--

End of file - 11141 bytes

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour monostress :P

 

Ton rapport révèle en effet des traces importantes d'infection. On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement :P

 

Je te demande de suivre la procédure ci-dessous. Prends le temps de la lire, imprime là si nécessaire, car une bonne partie de la procédure s'effectuera en mode sans échec, tu n'auras donc pas Internet dans ce mode.

 

 

flechedroite.png Désactive Avast, il risque d'embêter les outils et les empêcher de travailler. Si Avast réagit sur l'un d'entre eux malgré tout, ignore les alertes.

 

 

flechedroite.png Télécharge le FixWareout (LonnyRJones) sur le Bureau.

  • Lance le fix (FixWareout.exe), clique sur Next puis Install.
  • Assure-toi que Run fixit soit bien activé puis clique sur Finish.
  • Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
  • Ton système mettra un peu plus de temps au démarrage, c'est normal.
  • Au final, poste le contenu du rapport C:\fixwareout\report.txt

 

 

flechedroite.png Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

  • ***Si le lien ne fonctionne pas, essaie ceux-ci :
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
http://sdfix.net/SDFix.exeDouble clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\).
Ne l'exécute pas plus pour l'instant.

 

 

flechedroite.png Télécharge SmitfraudFix sur ton bureau.

  • Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau.
  • Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  • Poste le rapport sur le forum dans ta prochaine réponse.
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

 

flechedroite.png Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

aide visuelle.

 

 

flechedroite.png Double-clique sur smitfraudfix.cmd

  • Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
  • A la question Voulez-vous nettoyer le registre ? réponds O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
    Le fix déterminera si le fichier wininet.dll est infecté.
  • A la question Corriger le fichier infecté ? réponds O (oui) pour remplacer le fichier corrompu.
  • Il faudra poster le rapport sur le forum quand tu redémarreras par la suite en mode normal.
    N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
    Attention : l'option 2 de l'outil supprime le fond d'écran !

 

 

flechedroite.png Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.

  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC (en mode normal si rien de particulier n'est précisé).
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.

 

flechedroite.png Pour récapituler, il me faudra les rapports suivants :

  • le rapport de l'outil Fixwareout
  • les rapports SmitfraudFix en option 1 et 2
  • le rapport SdFix
  • Un nouveau rapport HijackThis.

 

A bientôt.

marc66 Junior Member

marc66

Posté(e)
Posté(e)
merci pour cette aide

je vai commmencer tout de suite et je t'iendrait au courrant

 

et surtout merci pour cette aide

 

"je sui le fils de monostress "

 

Salors aslut fils de monostress!

 

tu pourras aprés tout cela essayer Dr web cureit

 

http://www.01net.com/outils/telecharger/wi...ches/33668.html

 

tiens un bon tuto par apollo.01

 

http://theknitter-apollo.xooit.com/t2499-D...It.htm?q=cureit

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Salut Marc66,

 

Il vaut mieux ne pas intervenir dans un sujet déjà pris par un membre de l'équipe sécurité afin de ne pas embrouiller le demandeur.

 

Gof a sa stratégie déjà établie et il ne faut se servir de CureIt que dans certains cas; il ne peut corriger tous les problèmes.

 

Bonne soirée :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

+1, comme déjà dit ailleurs. Si tout le monde s'incruste pour faire des commentaires, c'est non seulement illisible, mais pénible à lire.

On n'est pas au bar entre potes à taper la discute, on dépanne des machines qui ont des problèmes sérieux. Voir les liens de ma signature.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...