un trojan s'est installé

le 7 mars 2005

bonjour,

j'ai téléchargé (comme un con) un programme que me passait un pote sur MSN. En fait, le gars ne m'a rien passé du tout, et le programme en question s'avere etre un trojan. en efet, il m'est impossible desormais de lancer quoi que ce soit qui ai trait à la protection de mon pc. L'antivirus, le spyware, le gestionnaire de programme; impossible de les lancer, ils se coupent automatiquement 1 sec apres s'etre lancé. Et sur internet, des que je veux faire un antivirus en ligne, ou que je cherche quelque chose qui parle de virus ou autre, (j'ai par exemple essayé de telecharger un logiciel sur zebulon de gestionnaire de programme pour peut etre essayer d'eteindre le prog. pour pouvoir l'éradiquer.) meme effet, la page se coupe quasi instantanement.

dans ces conditions, impossible de savoir quel est le nom du programme qui m'attaque, et comment m'en débarrasser.

Si vous aviez des idées pour me sortir de là, je vous en serait reconnaissant.

Merci d'avance

cyril

le 7 mars 2005

salut,

il faut aller dans l'explorateur, modifier quelques options pour avoir acces au fichiers et dossiers

onglet =>outils =>options des dossiers => affichages

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

Voila, une fois ceci fait, il faut aller dans le dossier :

C:\WINDOWS\System32\

et rechercher les fichiers

taskmgr.exe

regedt32.exe

msconfig.exe

renommer les fichiers en modifiant les extensions comme ceci :

taskmgr.com

regedt32.com

msconfig.com

et dans C:\Windows\

regedit.exe que tu renommes en regedit.com

ensuite, tu cliques directement sur les fichiers, tu auras accés au programme, tu arêtes les processus suspects

tu fais de meme dans msconfig => onglet démarrage, tu décoche les entrées suspecte, et tu redémarres la machine

ensuite, tu fais un log d'hijackthis

le 8 mars 2005

Merci pour ton aide, jusque là ca a marché, mais dans hijackthis, je ne sais pas trop quoi enlever, il 'a des tas de trucs que je ne connais pas,et d'autres que je connais mais que je n'ai jamais installé (du genre kaspersky !!)

si tu pouvais me donner ton avis sur ce que je dois enlever, je t'en serai reconnaissant.

cyril

Logfile of HijackThis v1.99.1

Scan saved at 15:45:46, on 08/03/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\msmbw.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\WINDOWS\System32\LVComS.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\taskmgr.com

C:\Documents and Settings\CC3087D\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.apple.com/fr/itunes/download/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 64.233.167.104 www.symantec.com

O1 - Hosts: 64.233.167.104 www.sophos.com

O1 - Hosts: 64.233.167.104 www.mcafee.com

O1 - Hosts: 64.233.167.104 www.viruslist.com

O1 - Hosts: 64.233.167.104 www.f-secure.com

O1 - Hosts: 64.233.167.104 www.avp.com

O1 - Hosts: 64.233.167.104 www.kaspersky.com

O1 - Hosts: 64.233.167.104 www.networkassociates.com

O1 - Hosts: 64.233.167.104 www.ca.com

O1 - Hosts: 64.233.167.104 www.my-etrust.com

O1 - Hosts: 64.233.167.104 www.nai.com

O1 - Hosts: 64.233.167.104 www.trendmicro.com

O1 - Hosts: 64.233.167.104 www.grisoft.com

O1 - Hosts: 64.233.167.104 securityresponse.symantec.com

O1 - Hosts: 64.233.167.104 symantec.com

O1 - Hosts: 64.233.167.104 sophos.com

O1 - Hosts: 64.233.167.104 mcafee.com

O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com

O1 - Hosts: 64.233.167.104 viruslist.com

O1 - Hosts: 64.233.167.104 f-secure.com

O1 - Hosts: 64.233.167.104 kaspersky.com

O1 - Hosts: 64.233.167.104 kaspersky-labs.com

O1 - Hosts: 64.233.167.104 avp.com

O1 - Hosts: 64.233.167.104 networkassociates.com

O1 - Hosts: 64.233.167.104 ca.com

O1 - Hosts: 64.233.167.104 mast.mcafee.com

O1 - Hosts: 64.233.167.104 my-etrust.com

O1 - Hosts: 64.233.167.104 download.mcafee.com

O1 - Hosts: 64.233.167.104 dispatch.mcafee.com

O1 - Hosts: 64.233.167.104 secure.nai.com

O1 - Hosts: 64.233.167.104 nai.com

O1 - Hosts: 64.233.167.104 update.symantec.com

O1 - Hosts: 64.233.167.104 updates.symantec.com

O1 - Hosts: 64.233.167.104 us.mcafee.com

O1 - Hosts: 64.233.167.104 liveupdate.symantec.com

O1 - Hosts: 64.233.167.104 customer.symantec.com

O1 - Hosts: 64.233.167.104 rads.mcafee.com

O1 - Hosts: 64.233.167.104 trendmicro.com

O1 - Hosts: 64.233.167.104 grisoft.com

O1 - Hosts: 64.233.167.104 sandbox.norman.no

O1 - Hosts: 64.233.167.104 www.pandasoftware.com

O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_64.dll

O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [speedRam2] C:\Program Files\SpeedRam2\Speedram.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\SYSTEM32\dllcache\msconfig.com /auto

O4 - HKLM\..\Run: [avnort] C:\WINDOWS\msmbw.exe

O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\msmbw.exe

O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\System32\formatsys.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O10 - Hijacked Internet access by New.Net

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1102812537971

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B61428C0-B41B-4981-85F5-7ED950C3F99F}: NameServer = 212.151.136.246 130.244.127.169

O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

H3aVeN · le 8 mars 2005

Regarde dans ma signature la ligne qui parle des logs d'Hijackthis. Fait ce qu'il te dise sur le site et moi je l'ai fais avec ton log et c'est pas joli joli (je m'en doutais deja un peu en le voyan comme ca )

@+

stin07bis · le 8 mars 2005

salut, il te imperativement mette ton pc à jour.....

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

C:\WINDOWS\msmbw.exe

O1 - Hosts: 64.233.167.104 www.symantec.com

O1 - Hosts: 64.233.167.104 www.sophos.com

O1 - Hosts: 64.233.167.104 www.mcafee.com

O1 - Hosts: 64.233.167.104 www.viruslist.com

O1 - Hosts: 64.233.167.104 www.f-secure.com

O1 - Hosts: 64.233.167.104 www.avp.com

O1 - Hosts: 64.233.167.104 www.kaspersky.com

O1 - Hosts: 64.233.167.104 www.networkassociates.com

O1 - Hosts: 64.233.167.104 www.ca.com

O1 - Hosts: 64.233.167.104 www.my-etrust.com

O1 - Hosts: 64.233.167.104 www.nai.com

O1 - Hosts: 64.233.167.104 www.trendmicro.com

O1 - Hosts: 64.233.167.104 www.grisoft.com

O1 - Hosts: 64.233.167.104 securityresponse.symantec.com

O1 - Hosts: 64.233.167.104 symantec.com

O1 - Hosts: 64.233.167.104 sophos.com

O1 - Hosts: 64.233.167.104 mcafee.com

O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com

O1 - Hosts: 64.233.167.104 viruslist.com

O1 - Hosts: 64.233.167.104 f-secure.com

O1 - Hosts: 64.233.167.104 kaspersky.com

O1 - Hosts: 64.233.167.104 kaspersky-labs.com

O1 - Hosts: 64.233.167.104 avp.com

O1 - Hosts: 64.233.167.104 networkassociates.com

O1 - Hosts: 64.233.167.104 ca.com

O1 - Hosts: 64.233.167.104 mast.mcafee.com

O1 - Hosts: 64.233.167.104 my-etrust.com

O1 - Hosts: 64.233.167.104 download.mcafee.com

O1 - Hosts: 64.233.167.104 dispatch.mcafee.com

O1 - Hosts: 64.233.167.104 secure.nai.com

O1 - Hosts: 64.233.167.104 nai.com

O1 - Hosts: 64.233.167.104 update.symantec.com

O1 - Hosts: 64.233.167.104 updates.symantec.com

O1 - Hosts: 64.233.167.104 us.mcafee.com

O1 - Hosts: 64.233.167.104 liveupdate.symantec.com

O1 - Hosts: 64.233.167.104 customer.symantec.com

O1 - Hosts: 64.233.167.104 rads.mcafee.com

O1 - Hosts: 64.233.167.104 trendmicro.com

O1 - Hosts: 64.233.167.104 grisoft.com

O1 - Hosts: 64.233.167.104 sandbox.norman.no

O1 - Hosts: 64.233.167.104 www.pandasoftware.com

O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_64.dll

O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll

O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar3_28.dll

O4 - HKLM\..\Run: [avnort] C:\WINDOWS\msmbw.exe

O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\msmbw.exe

O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\System32\formatsys.exe

O10 - Hijacked Internet access by New.Net

commence déjà à enlever tous ca ..mode sans echec..puis fait 1 nettoyage de ton pc...@+

le 8 mars 2005

Wahou, vous aviez raison, y'avait du bordel à virer !

Je savais pas me servir d'hijack this, je me contentais de spyboat, et c'est vrai que hijackthis marche plutot bien. merci

en effet, j'avais des merdes qui tournaient.

mon virus, c'était msmbw.exe, il doit etre tout neuf, j'en ai pas entendu parler sur internet.

Quant à mes mises à jour, elles sont super recentes, et j'ai rien à mettre à jour, c'est étrange que tu me dise ca, tu pensais à quoi en particulier ?

En tout cas, merci de votre aide, je respire, j'ai déjà un pc au bout du rouleau (je suis étudiant ... lol) alors si en plus, le software me plante, ou va t'on ?!

cyril

stin07bis · le 8 mars 2005

salut....

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

normalement si tu as fait tes mises a jours...t'aurai au moins les sp1 sinon le sp2..

là tu n'a rien....donc, t'es pas à jour...

@+ :-(

Quinoa · le 14 mars 2005

Bijour moi aussi je dois avoir le meme trojan (quel gogol d'avoir telecharger un fichier sur msn avec un nom comme sa) apres recherche sa doit etre summum.Mais il y a quelques points ds la methode de Mr Tesgaz que je voudrai eclaircir :

quand je renomme taskmgr.exe il s'en crée un nouveau...c'est grave?

msconfig.exe ne se trouve pas dans systeme 32 mais par l'intermediaire de rechercher j'en ai trouver deux dans C:\WINDOWS\ServicePackFiles\i386 et dans C:\WINDOWS\PCHealth\HelpCtr\Binaries je les ai renommer tout les deux.J'ai pas gaffer?

Et quand vous dites d'arreter les processus suspect vous voulez parler des quels non pas que je suis parano mais...avec des nom comme sa ...

Merci bien

Quinoa

Connexion

Pas encore inscrit ?

un trojan s'est installé

Messages recommandés

Invité cc3087d

Invité tesgaz

Invité cc3087d

H3aVeN

stin07bis

Invité cc3087d

stin07bis

Quinoa

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer