[résolu]aide avec hijackthis!!

[ephelide]

Bonjour à tous,

 

Voila mon problème : depuis quelques temps, avast me signale des virus de plus en plus fréquemment, je n'arrive pas à m'en débarrasser. il s'agit de :

 

* win32:trojano-1224 [Trj]

* win32:trojano-324 [Trj]

* win32:trojano-1212 [Trj]

* Win32:Bolger [Adw]

* Win32: Ad-agent [Adw]

* Win32:Trojan-gen. {Other}

 

J'utilise aussi spybot, et là aussi quelque chose de bizarre : a chaque scan, il trouve exactement les même erreurs alors que je les répare a chaque fois, comme si il n'arrivait pas à s'en débarrasser. il s'agit de :

GAIN.GATOR

Altnet

Cydoor

GAIN.DashBar

 

J'ai aussi depuis hier des fenetres Aurora qui s'ouvrent tout le temps!! Au secours!!

J'ai trouvé un ou deux trucs louches dans le log de hijackthis (comme O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe) mais comme je n'y connais rien du tout j'ai peur de supprimer quelque chose qu'il fallait pas...donc je vous demande de l'aide!! voici le log :

Logfile of HijackThis v1.99.1

Scan saved at 10:54:37, on 23/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\PROGRA~1\INSTAF~1\INSTAF~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://univ-r.u-strasbg.fr/TSWeb/msrdp.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

 

J'espère que vous pourrez m'aider!!! merci beaucoup d'avance!!

 

ephelide

[Invité Stonangel]

Bonjour ephelide et bienvenue sur Zébulon Sécurité

 

1 Désactive le service SvcProc:

 

Clique sur Démarrer> Exécuter, tape services.msc et clique sur OK.

 

Dans la liste des services, cherche et sélectionne SvcProc

Double clique sur la ligne

Vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\svcproc.exe dans Type de démarrage, sélectionne Désactiver et valide la modification.

 

2 Désinstalle ces applications via Ajout/Suppression de programmes (si ellse existent):

 

InstaFinderK

 

P2P Networking

 

2 Démarre Hijackthis Do a system scan only, assure toi que la case Make backups before fixing items est activée et cocheles lignes en gras suivantes:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\PROGRA~1\INSTAF~1\INSTAF~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime < non infectieuse mais consommatrice de ressources

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://univ-r.u-strasbg.fr/TSWeb/msrdp.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

4 Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

5 Supprime les dossiers incriminés (s'ils existent encore) :

 

C:\PROGRA~1\INSTAF~1< le dossier

 

C:\WINDOWS\system32\P2P Networking < le dossier

 

 

Supprime les fichiers inutiles dans les répertoires Temp

 

celui de C:\Documents and Settings\ton identité\Local Settings\Temp <--tout le contenu

 

C:\Documents and Settings\autres identités\Local Settings\Temp <--tout le contenu

 

et ceux de

 

C:\Temp

 

C:\Windows\Temp <--tout le contenu

 

 

Supprime tous les fichiers de Temporary Internet Files

via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers .

 

Supprime les Cookies.

 

Supprime tout le contenu de Prefetch

 

C:\WINDOWS\Prefetch<--Tout le contenu

 

Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C:

coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers

 

Vide la corbeille

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

6 Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Edit Cette ligne:

 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

est légitime, voir ci-dessous:

 

http://www.liutilities.com/products/wintas...library/ctfmon/

Modifié le 23 avril 2005 par Stonangel

[ephelide]

Merci indéfiniment!!!!!!!

 

J'ai suivi toutes les instructions sans problème. Sauf au début, je n'ai pas trouvé le service SvcProc dans la liste, mais j'ai regardé tous les chemins d'accès des fichiers exécutables et j'ai bien trouvé C:\WINDOWS\svcproc.exe mais sous le nom de "system startup service", et je l'ai désactivé (j'espère qu'il fallait bien). Voici le nouveau hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:28:05, on 23/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://univ-r.u-strasbg.fr/TSWeb/msrdp.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

 

j'espère que tout va bien maintenant et encore un énorme merci!!!!!!!!!!!

 

ephelide

[ipl_001]

Bonsoir ephelide, stonangel, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zebulon ! Merci de venir sur notre forum !

 

Je te confirme que ton rapport HijackThis ne comporte plus d'élément infectieux !

Félicitations à tous les 2 !

 

Par contre, il te faut relancer un scan antivirus !

 

N'oublie pas qu'HijackThis examine la base de registres et détecte les infection du système !

 

L'antivirus examine les fichiers du disque dur !

[ephelide]

En effet j'ai refait un scan avec avast et le virus Win32:Trojano-1224 [Trj] a infecté 5 nouveaux fichiers!!

qu'est ce que je peux faire pour m'en débarrasser??

par contre spybot ne trouve plus rien!!!

[megataupe]

En effet j'ai refait un scan avec avast et le virus Win32:Trojano-1224 [Trj] a infecté 5 nouveaux fichiers!!

qu'est ce que je peux faire pour m'en débarrasser??

par contre spybot ne trouve plus rien!!!

492192[/snapback]

 

Bonsoir. Tu désactives la restauration système : clic droit sur poste de travail-propriétés-onglet restauration du système puis, cocher la case désactiver la restauration système-appliquer et OK. Tu refais ensuite un scan en mode sans échec avec Avast (appuyer en continu sur la touche F8 au redémarrage) puis, si plus de virus, tu réactives la restauration système.

[Invité Stonangel]

Bonsoir à tous avant de désactiver la restauration système et perdre ainsi tous tes points de restauration fais un scan sur Ravantivirus:

 

http://www.ravantivirus.com/scan/

 

To continue without suscribing> Attendre l'installation> Autoclean> Scan my PC

 

et fais un copier coller du rapport ici.

Modifié le 23 avril 2005 par Stonangel

[ipl_001]

Bonsoir Stonangel, ephelide, megataupe, bonsoir à tous,

... avant de désactiver la restauration système et perdre ainsi tous tes points de restauration...

LOL

Je vois ce à quoi tu fais référence !

[Invité Stonangel]

Bonsoir ipl mémorable soirée...

[ephelide]

Bonsoir a tous,

 

J'ai fait un scan avec Ravantivirus, voici ce qu'il trouve :

Scan started at 23/04/2005 23:45:16

 

Scanning memory...

Scanning boot sectors...

Scanning files...

 

Scanned

============================

Objects: 16939

Directories: 1521

Archives: 1752

Size(Kb): 1456764

Infected files: 0

 

Found

============================

Viruses found: 0

Suspicious files: 0

Disinfected files: 0

Mail files: 3235

 

 

ça a l'air plutot bon....j'espère donc qu'il n'y a plus de problème, même si une ou deux fenêtres Aurora réapparaissent de temps en temps!!