Trojan à supprimer de mon PC

[gigi31p]

mon antivirus me signale des trojans sur les fichiers suivants :

c:\windows\nem220.dll

c:\windows\pcbjlgag.exe

c:\programfiles\istsvc\istsvc.exe

c:\programfiles\internetoptimizer\optimize.exe

 

est-ce que je peux supprimer ces fichiers ?

 

merci pour vos réponses

 

voici mon rapport Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 19:08:50, on 30/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\logiciels\AVPersonal\AVGUARD.EXE

C:\logiciels\AVPersonal\AVWUPSRV.EXE

C:\logiciels\Djinn Numéris Itoo\vstartx.exe

C:\logiciels\Djinn Numéris Itoo\gisdnlog.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\ZONELABS\minilog.exe

C:\WINDOWS\Explorer.EXE

C:\logiciels\Djinn Numéris Itoo\gsyno.exe

C:\WINDOWS\pcbjlgag.exe

C:\logiciels\AVPersonal\AVGNT.EXE

C:\LOGICI~1\Netcom\Netcom.exe

C:\Program Files\ISTsvc\istsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\logiciels\Zone Labs\ZoneAlarm\zonealarm.exe

C:\util\prog\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [GazelDisplay] "C:\logiciels\Djinn Numéris Itoo\gsyno.exe" -h

O4 - HKLM\..\Run: [QCvZEPNP] C:\WINDOWS\pcbjlgag.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\logiciels\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Netcom] "C:\LOGICI~1\Netcom\Netcom.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bO²ùð\×y-¯Œ] C:\WINDOWS\pcbjlgag.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: ZoneAlarm.lnk = C:\logiciels\Zone Labs\ZoneAlarm\zonealarm.exe

O4 - Global Startup: Microsoft Office.lnk = C:\logiciels\Microsoft Office\Office\OSA9.EXE

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\logiciels\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\logiciels\AVPersonal\AVWUPSRV.EXE

O23 - Service: Démarrage Djinn (Gazel Startup) - Unknown owner - C:\logiciels\Djinn Numéris Itoo\vstartx.exe" /s (file missing)

O23 - Service: Journal des connexions RNIS (GisdnLog) - Unknown owner - C:\logiciels\Djinn Numéris Itoo\gisdnlog.exe" -s (file missing)

O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

[queruak]

Bonjour gigi31p, bonjour à tous,

 

Je regarde ton rapport,réponse dans quelques instants.

[queruak]

Rebonjour,

 

-1-Télécharge EasyCleaner.

http://personal.inet.fi/business/toniarts/ecleane.htm

 

-2-Assure toi d'avoir accés à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

-3-Termine le(s) processus suivant(s).

-pcbjlgag.exe

-istsvc.exe

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->terminer processus.

 

-4-Désinstalle via Ajout/suppression des programmes du panneau de configuration ,le(s) programme(s) suivant(s).

ISTsvc

-Internet Optimizer

 

-5-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [GazelDisplay] "C:\logiciels\Djinn Numéris Itoo\gsyno.exe" -h

O4 - HKLM\..\Run: [QCvZEPNP] C:\WINDOWS\pcbjlgag.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\logiciels\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Netcom] "C:\LOGICI~1\Netcom\Netcom.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bO²ùð\×y-¯Œ] C:\WINDOWS\pcbjlgag.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: ZoneAlarm.lnk = C:\logiciels\Zone Labs\ZoneAlarm\zonealarm.exe

O4 - Global Startup: Microsoft Office.lnk = C:\logiciels\Microsoft Office\Office\OSA9.EXE

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\logiciels\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\logiciels\AVPersonal\AVWUPSRV.EXE

O23 - Service: Démarrage Djinn (Gazel Startup) - Unknown owner - C:\logiciels\Djinn Numéris Itoo\vstartx.exe" /s (file missing)

O23 - Service: Journal des connexions RNIS (GisdnLog) - Unknown owner - C:\logiciels\Djinn Numéris Itoo\gisdnlog.exe" -s (file missing)

O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

-6-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

-7-Redémarre en mode sans echec.

Comment démarrer Windows XP en mode sans échec

 

-8-Supprime les fichiers et dossiers suivants.

 

.C:\Program Files\ISTsvc<-le dossier

.C:\Program Files\Internet Optimizer<-le dossier

.C:\WINDOWS\pcbjlgag.exe <-le fichier

.C:\WINDOWS\nem220.dll<-le fichier

 

-Vide la corbeille.

 

-9-Passe EasyCleaner.

N'utilise que les fonctions Inutiles et Registre.

Supprime tout ce qu'il te propose

 

-10-Redémarre normalement et poste un nouveau log Hijackthis pour vérification.

Modifié le 31 mai 2005 par queruak

[gigi31p]

je fais toutes ces opérations ce soir et te contacte demain

merci

[gigi31p]

bonjour

 

voilà le résultat après avoir suivi tes recommandations :

 

je n'ai supprimé car pas trouvé les fichiers suivants :

.C:\Program Files\ISTsvc<-le dossier

.C:\Program Files\Internet Optimizer<-le dossier

.C:\WINDOWS\pcbjlgag.exe <-le fichier

.C:\WINDOWS\nem220.dll<-le fichier

 

après relance de l'antivirus j'ai toujours le message "trojan..." sur le fichiers suivants :

c:\windows\nem220.dll

c:\programfiles\internetoptimizer\optimize.exe

c:\systemvolumeinformation\_restore\a0002294.exe

c:\systemvolumeinformation\_restore\a0002334.exe

c:\systemvolumeinformation\_restore\a0002335.exe

 

mon rapport Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 18:26:25, on 31/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\logiciels\AVPersonal\AVGUARD.EXE

C:\logiciels\AVPersonal\AVWUPSRV.EXE

C:\logiciels\Djinn Numéris Itoo\vstartx.exe

C:\logiciels\Djinn Numéris Itoo\gisdnlog.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\logiciels\Djinn Numéris Itoo\gsyno.exe

C:\logiciels\AVPersonal\AVGNT.EXE

C:\LOGICI~1\Netcom\Netcom.exe

C:\WINDOWS\system32\ZONELABS\minilog.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\logiciels\Zone Labs\ZoneAlarm\zonealarm.exe

C:\util\prog\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [GazelDisplay] "C:\logiciels\Djinn Numéris Itoo\gsyno.exe" -h

O4 - HKLM\..\Run: [AVGCtrl] C:\logiciels\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Netcom] "C:\LOGICI~1\Netcom\Netcom.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: ZoneAlarm.lnk = C:\logiciels\Zone Labs\ZoneAlarm\zonealarm.exe

O4 - Global Startup: Microsoft Office.lnk = C:\logiciels\Microsoft Office\Office\OSA9.EXE

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\logiciels\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\logiciels\AVPersonal\AVWUPSRV.EXE

O23 - Service: Démarrage Djinn (Gazel Startup) - Unknown owner - C:\logiciels\Djinn Numéris Itoo\vstartx.exe" /s (file missing)

O23 - Service: Journal des connexions RNIS (GisdnLog) - Unknown owner - C:\logiciels\Djinn Numéris Itoo\gisdnlog.exe" -s (file missing)

O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

merci

[queruak]

Bonjour gigi31p, bonjour à tous,

 

-Vide les quarantaines de tous tes utilitaires de sécurité.

 

-Vide la corbeille.

 

-Désactive la restauration du systeme

Clic droit sur Poste de travail--> Propriétés-->Restauration du systeme-->coche la case "Désactiver la restauration du systeme sur tous les lecteurs" -->Appliquer-->OK.

 

-Redémarre et fais le scan en ligne suivant

http://www.pandasoftware.com/activescan/co...n_principal.htm

A la fin du scan,colle le rapport ici.

 

@+

[gigi31p]

Bonjour

 

peux-tu m'expliquer :

"-Vide les quarantaines de tous tes utilitaires de sécurité."

 

comment je dois procéder ?

 

merci

[queruak]

Rebonjour,

 

peux-tu m'expliquer :

"-Vide les quarantaines de tous tes utilitaires de sécurité."

comment je dois procéder ?

 

-Pour ton antivirus AVP(Antivir )

C:\Program Files\AVPersonal\INFECTED <--Vider tout le contenu

- Ad-aware

Ouvre Ad-aware,clique sur le cadenas,et tu supprimes les eventuelles quarantaines.

- SpyBot

Ouvre Spybot-->sauvegardes -->coches toutes les cases -->Purger les elements selectionnés.

 

 

@+

[gigi31p]

bonjour

 

j'ai bien suivi tes consignes sauf pour la désactivation de la restauration du système et du scan en ligne car je n'ai pas pu me connecter sur internet...

 

la connexion est bien ouverte mais la page Internet ne se charge pas (pas de message d'erreur)

 

idem pour la messagerie, les premiers messages arrivent puis j'ai un message 'pop3 ne répond pas, voulez vous patienter ou arrêter'

 

sur XP, est ce qu'il existe un timer .... j'ai une connexion numéris ITOO (modem)

 

mon antivirus me signale toujours des trojean sur

c:\windows\nem220.dll trojean TR/Dldr.Dyfuca.Bh.1

 

c:\programfiles\internetoptimizer\optimize.exe trojean TR/Dldr.Dyfuca.ds

 

c:\systemvolumeinformation\_restore\A0002294.exe trojean TR/Dldr.Istbar.IQ

 

c:\systemvolumeinformation\_restore\A0002334.exe trojean TR/Dldr.Istbar.IJ.1

 

c:\systemvolumeinformation\_restore\A0002335.exe trojean TR/Dldr.Istbar.is.2

 

merci

[queruak]

Bonjour,

mon antivirus me signale toujours des trojean sur

c:\windows\nem220.dll trojean TR/Dldr.Dyfuca.Bh.1

c:\programfiles\internetoptimizer\optimize.exe trojean TR/Dldr.Dyfuca.ds

c:\systemvolumeinformation\_restore\A0002294.exe trojean TR/Dldr.Istbar.IQ

c:\systemvolumeinformation\_restore\A0002334.exe trojean TR/Dldr.Istbar.IJ.1

c:\systemvolumeinformation\_restore\A0002335.exe trojean TR/Dldr.Istbar.is.2

 

Si tu n'as pas désactivé la restauration du systeme ,et tu n'as pas désinstallé Internet optimizer,et si tu n'as pas supprimé le fichier nem220.dll, ton antivirus continuera à les signaler.Ils ne vont pas partir tout seul.

 

 

 

La démarche ne change pas.

Du moment que ton antivirus signale ces fichiers,c'est qu'il est capable de les supprimer.

A mon avis l'echec de la suppression vient du fait que ton antivirus est mal configuré.

 

Tu fais ceci:

 

 

-Désinstalle via Ajout/suppression des programmes du panneau de configuration ,le(s) programme(s) suivant(s).

Internet Optimizer

 

-Parametre ton antivirus de cette façon:

 

=>aller sur le menu options => configuration

 

menu "Search"

dans la fenetre de droite

Boot records

activer = boot record of selected drives

Files

activer = All files

Mémory

activer = begin scan with memory

 

Sous menu Search "Archives"

correspond aux fichiers compréssés (rar,zip, gz, ace, cab, etc..)

dans la fenetre de droite

activer = search Archives

activer = all archives

 

menu Unwanted program

correspond a des backdoor, dialers, games, jokes et malicious software

activer = activate all types

 

 

menu Heuristic

correspond à la recherche heuristique

Macro virus heuristic

activer = enable macro virus heuristic

 

Win32 files heuristic

activer = Win32 file heuristic enable

activer = detection level high

 

menu Drag & Drop

activer = scan subdirectories

 

menu internet updater

activer = allow automatic internet update downloads

 

menu miscellaneous

 

temporary patch

metter le dossier dans lequel vous souhaitez que soit décompresser les patches

 

stop scan

permet de savoir si on doit supprimer un fichier ou le mettre en quarantaine (pendant le scan)

activer = interruption allowed

activer = overwrite deleted files

 

Antivir tools

activer = load the guard system start

 

Virus definition file

activer = check for files old virus definition files

en dessous, indiquer = 1 days old

 

Merci à tesgaz

 

Tu le mets à jour s'il te plait.

 

-Désactive la restauration du systeme.

 

-Redémarre en mode sans echec ensuite.

 

-Passe ton antivirus et supprime tout ce qu'il te propose.

 

-Supprime les fichiers et dossiers incriminés:

 

c:\windows\nem220.dll

 

c:\programfiles\internetoptimizer

 

-Vide la corbeille.

 

-Repasse ton antivirus.

Modifié le 2 juin 2005 par queruak