help infecté par un cheval de troie

[fen]

bonjour a tous, j'ai ete infecté par un virus (windows recovery) et je pense l'avoir effacé mais il me reste des traces de cette saloperie j'ai fait un scan de mon pc avec hijack voila le rapport:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:43:54, on 19/05/2011

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16385)

 

Running processes:

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Synaptics\SynTP\SynTPStart.exe

C:\Program Files\AVG\AVG9\avgtray.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe

C:\Windows\system32\conhost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Users\FenX\AppData\Local\Temp\Rar$EX00.048\HijackThis.exe

C:\Users\FenX\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - {7a5f72d2-9bbf-443f-9d35-26fc7e858e77} - (no file)

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O11 - Options group: [iNTERNATIONAL] International

O13 - Gopher Prefix:

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos-beta/OnlineScanner.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll

O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe

O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe

O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe

O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgfws9.exe

O23 - Service: AVG9IDSAgent (AVGIDSAgent) - Unknown owner - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe" AVGIDSAgent (file missing)

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\Windows\system32\Hpservice.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)

 

 

merci pour votre aide

[Apollo]

Bonsoir,

 

Dis donc! Tu as une version d'Hijackthis qui date de Mathusalem; de plus il est dans un Temp, mal placé, mais de toutes façons il ne convient pas à ton système.

 

Quels outils as-tu employé? As-tu leurs rapports? Si oui, poste-les stp.

 

Fais ensuite ceci:

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

@++

[fen]

Bonsoir,

 

Dis donc! Tu as une version d'Hijackthis qui date de Mathusalem; de plus il est dans un Temp, mal placé, mais de toutes façons il ne convient pas à ton système.

 

Quels outils as-tu employé? As-tu leurs rapports? Si oui, poste-les stp.

 

Fais ensuite ceci:

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

@++

 

 

salut apollo,

voila j'ai scanné mon pc avec ZHP. Dans un premier temp j'ai utilisé roguekiller pour me débarasser de windows recovery ensuite j'ai scanné mon pc avec malwarebytes et enfin j'ai installé un antivirus (avg internet security). Malgré mes efforts mon pc reste contaminé car j'ai des mesage de mon antivirus et je n'arrive pas a supprimer cette saleté

voila mon rapport:

Cijoint.fr - Service gratuit de dépôt de fichiers

Et merci de l'interet que tu porte a mon probleme c'est vraiment sympas

[Apollo]

Bonjour,

 

J'aurais voul voir les rapports.

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options! (Supprimer, ignorer, "réparer")

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

@++

[Apollo]

Je vais te demander de bien vouloir utiliser le bouton "Ajouter une réponse" afin de ne pas citer chaque fois le post précédent, merci.

 

[fen]

je n'arrive pas a installer ton programme tdskiller! :-/

Modifié le 20 mai 2011 par fen

[Apollo]

Re,

 

Dommage que ce n'est pas "mon programme"

 

Installer ou télécharger?

 

Tu peux essayer de le télécharger ici et de l'enregistrer sur le bureau avant de l'exécuter:

je l'ai renommé en machin.exe pour essayer de tromper l'ennemi. Download Machin.exe from Sendspace.com - send big files the easy way

 

@++

[fen]

j'arrive a l'installer mais une fois installer je n'arrive pas a le lancer! Meme en l'executant en tant qu'administrateur, il ne se passe rien.

[fen]

voila j'ai du desinstaller mon antivirus qui a fesait bugé mon pc, j'ai lancé machin.exe et voila le resultat:

 

 

2011/05/23 22:15:25.0772 1856 TDSS rootkit removing tool 2.5.1.0 May 13 2011 13:20:29

2011/05/23 22:15:25.0928 1856 ================================================================================

2011/05/23 22:15:25.0928 1856 SystemInfo:

2011/05/23 22:15:25.0928 1856

2011/05/23 22:15:25.0928 1856 OS Version: 6.1.7600 ServicePack: 0.0

2011/05/23 22:15:25.0928 1856 Product type: Workstation

2011/05/23 22:15:25.0928 1856 ComputerName: FENX-PC

2011/05/23 22:15:25.0928 1856 UserName: FenX

2011/05/23 22:15:25.0928 1856 Windows directory: C:\Windows

2011/05/23 22:15:25.0928 1856 System windows directory: C:\Windows

2011/05/23 22:15:25.0928 1856 Processor architecture: Intel x86

2011/05/23 22:15:25.0928 1856 Number of processors: 2

2011/05/23 22:15:25.0928 1856 Page size: 0x1000

2011/05/23 22:15:25.0928 1856 Boot type: Normal boot

2011/05/23 22:15:25.0928 1856 ================================================================================

2011/05/23 22:15:26.0287 1856 Initialize success

[Apollo]

Bonjour,

 

Le rapport est incomplet, va dans le poste de travail, double-clique sur C et ouvre le fichier texte de TDSSKiller.

 

Copie/colle TOUT son contenu stp.

 

@++