Trojan + log hijackthis.(résolu).

[eikichi]

Bonjour, je viens de faire un scan en ligne(F-secure) et il me trouve ce trojan:(Trojan.Win32.Propat.a),mon av ne l'a pas remarqué,mon log hijackthis est correct.

Merci de votre aide.

 

Voici mon log de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 10:33:47, on 01/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CpuIdle\cpuidle.exe

C:\WINDOWS\svchost.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe

C:\Program Files\Grisoft\AVG Free\avgcc.exe

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\telechargement\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system\catun.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [CpuIdle] C:\Program Files\CpuIdle\cpuidle.exe

O4 - HKLM\..\Run: [sécurity Center] C:\WINDOWS\svchost.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{77E2CD3F-F879-4E43-B196-170728EEAC87}: NameServer = 194.117.200.10 194.117.200.15

O20 - Winlogon Notify: catun - C:\WINDOWS\system\catun.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe.

 

Et encore merci pour l'aide.

Modifié le 1 mai 2005 par woulzy

[Invité Stonangel]

Bonjour woulzy, bonjour à tous:

 

mon log hijackthis est correct

 

Pas tout à fait:

 

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system\catun.dll

 

O20 - Winlogon Notify: catun - C:\WINDOWS\system\catun.dll

[eikichi]

Salut a quoi correspond ces lignes?

[Invité Stonangel]

Re woulzy, démarre en mode sans échec, assure toi d'avoir accès aux fichiers cachés et supprime:

 

 

C:\WINDOWS\system\catun.dll

 

 

Ensuite va dans la base de registre et supprime les clés suivantes (prudence):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[nom du trojan]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

 

HKLM\SOFTWARE\Classes\MSEvents Object

 

Redémarre normalement et poste un nouveau rapport Hijackthis.

[Invité tesgaz]

Salut,

 

c'est quoi cette ligne :

O4 - HKLM\..\Run: [sécurity Center] C:\WINDOWS\svchost.exe

 

 

a fixer

 

ensuite tu redémarres en mode sans echec, et tu vires le fichier :

C:\WINDOWS\svchost.exe

Modifié le 1 mai 2005 par tesgaz

[eikichi]

Re woulzy, démarre en mode sans échec, assure toi d'avoir accès aux fichiers cachés et supprime:

C:\WINDOWS\system\catun.dll

Ensuite va dans la base de registre et supprime les clés suivantes (prudence):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[nom du trojan]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

 

HKLM\SOFTWARE\Classes\MSEvents Object

 

Redémarre normalement et poste un nouveau rapport Hijackthis.

495442[/snapback]

Salut meme en cochant l'option pour voir les fichiers cachés,je ne trouve pas catun.dll.

[Invité Stonangel]

Re as-tu trouvé les clés? Tu as pu les supprimer?

[eikichi]

Bon je suis allé en safemode,essayé de fixer les lignes dans hijackthis celles ci:

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\system\catun.dll

O20 - Winlogon Notify: catun - C:\WINDOWS\system\catun.dll

et il me mets ceci comme message ci dessous?

.

 

Sinon j'ai effacé les clés ci dessous:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[nom du trojan]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

 

HKLM\SOFTWARE\Classes\MSEvents Object.

 

Et elles sont tjrs là,comprends pas cette merde.Sinon Tesgaz j'ai viré ce que tu as dit et aucun blème,merci.

Modifié le 1 mai 2005 par woulzy

[ipl_001]

Bonjour woulzy, Stonangel, tesgaz, bonjour à tous,

 

mon log hijackthis est correct.

Que voulais-tu dire par là ? LOL

 

Ton message disant que tu t'apprêtes à supprimer un BHO et le fichier correspondant est normal ! Il faut toujours fermer toutes les autres fenêtre qu'HijackThis avant de cliquer sur "Fix cheched"

[ipl_001]

Re,

 

Redémarre normalement et poste un nouveau rapport Hijackthis.