Aidez moi à aliminer des trojans trés virulents

[PANTURLE]

bonjour a tous,

 

Moi c'est panturle..je suis tout nouveau sur le site et j'ai besoin d'une main secourable....

Je trouve ce site trés bien et on y touve une foule d'astuces et de renseignement, et je vous en félicite......

 

Depuis quelques jours, des fenetres s'ouvrent, des popup, pub pour des sites xxx,

de plus une fois toutes les demi heure, un peu prés il y a aussi une fenetre qui s'ouvre avec un bragouinage en anglais, m'expliquant (si je comprend bien) que mon pc est infesté par des trojans et qu'ils peuvent avoir accés a des données confidentielles, des codes etc..etc..

 

j'ai essayer de résoudre le probleme, rien qu'en regardabnt vos post...

 

Gros probléme, et pas des moindres, je ne connais pas grand chose en informatique.

 

Donc j'ai doublement besoin d'aide...

 

mon pc est infecté par les trojan NAIB/ SERVIC ET BUDDY.F.....

 

J'ai fait plusieurs scan avec NORTON, SPYBOT, AD AWARE, sans résultat ( meme en mode sans échec ) ...ils les localisent, les suppriment, mais reviennent aussitot..

Par contre la suppression devient pratiquement permanente quand je fait un scan avec TROJAN REMOVER... Cependant dés que je vais sur internet par la page d'acceuil FREE, cela revient...Il semblerait qu'en évitant de passer par cette page d'acceuil, cela ne se produise pas...

 

Cela serait sympa de votre part de me donner un coup de main...

 

panturle...

[waterploof]

Salut panturle

 

Je sais pas si tu la déja fait ou si ca va vraiment t'aider mais tu peut enlever la surveillance du disque dur principale ( ou restauration system ) !

 

Pour cela panneau de config, passe en affichage classique (si ce n'est déja pas fait ! ) a l'aide du menu de gauche dans dans le panneau de config.

 

Ensuite tu vas sur system ==> onglet restauration du systeme.

 

La tu coches la case "desactiver le restauration du system"

 

Aprés cela refait toutes tes analyses avec tes logiciels !!

 

Essaye de le faire en mode sans échec tout en laissant la désactivation de la restauration system !!

 

J'esper je ca t'as aider

 

PS : n'oublis pas de décocher la case de la restauration system

Ca pourrai être utile !!!!

[Gothic_Ted]

Salut,

post aussi un rapport Hijackthis (logiciel que tu peux trouver dans la section telechargement)

un professionnel de la sécurité te répondra

[PANTURLE]

Bonjour SLOSHY, Bonjour WATERPLOOF..

 

Merci à vous deux de répondre si vite, j'essayerais cette manip dés ce soir, car ( là ) je suis sur mon lieu de travail, et je n'ai pas les mains libres...

 

SLOSHY, désolé pour la présentation, je me présenterais dés mon retour...encore milles excuses....

 

 

Je vous tiendrais au courant et encore merci...

 

panturle...

[megataupe]

Bonjour à tous.

 

Bonjour Panturle et bienvenue sur le forum Zébulon Sécurité

 

Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système :

 

lance l'Explorateur Windows et supprime le contenu de

--- C:\Temp

--- C:\Windows\Temp

 

suppression des fichiers inutiles par :

 

-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles.

 

nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

 

nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet Sun Java puis, cliquer sur lancer le nettoyage).

http://www.ccleaner.com/ccdownload.asp

 

examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent

 

recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html

 

examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve

 

examen antispyware par

------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve

 

----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.

 

Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel :

 

- télécharger HijackThis de Merijn Belekom

http://www.spywareinfo.com/~merijn/downloads.html

 

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse.

 

 

Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

[Gothic_Ted]

Les trucs de baranuigage en anglais c peut etre les genres de pub envoyé par le service "affichage des messages", essaye de le désactiver.

 

démarrer, executer, services.msc, clic drois sur affichage des messages, arreter, double clic sur affichage des messages désactiver

[roserousse]

Bonjour Panturle,

 

c'est Rosace.

Un peu comme toi désespérée et à bout j'ai tenté le tout pour le tout sur ce forum.

 

Je vois que Megataupe a pris ce problème en main.

 

Un seul conseil : Le mieux est de faire scrupuleusement ce qu'il te dit.

Ensuite continues de surveiller le PC et donnes des nouvelles si tu vois encore des comportements suspects.

 

++

 

Rosace

 

Edit : ça peut être un peu long, courage.

Après analyse du log hijackthis, il y aura sans doute d'autres manip à faire et tu seras guidé.

Modifié le 14 juin 2005 par roserousse

[PANTURLE]

j'ai fait ce que j'ai pu..ci dessous le rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 22:24:06, on 13/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Personal Firewall\NISUM.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\System32\qttask.exe

C:\WINDOWS\System32\KYSVCXD.EXE

C:\WINDOWS\System32\ctfmon.exe

c:\windows\system32\xygzcc.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Norton Personal Firewall\ccPxySvc.exe

C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\System32\rpcclient.exe

C:\Program Files\WinAce\WinAce.exe

C:\DOCUME~1\moi\LOCALS~1\Temp\~AceTemp\hijackthis\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {E0350BF8-394C-AE8C-EE9B-3393D618F172} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\Run: [Open Service Drivers] opiater.exe

O4 - HKLM\..\Run: [llncad] c:\windows\system32\xygzcc.exe r

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [Open Service Drivers] opiater.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Zilla Popup Killer] C:\Program Files\Zilla Popup Killer\ZillaPop.exe

O4 - HKCU\..\Run: [Open Service Drivers] opiater.exe

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\RunServices: [Open Service Drivers] opiater.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

O23 - Service: Workstation Service Library (Microsoft Locator Service) - Unknown owner - C:\WINDOWS\wkssvc.exe (file missing)

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

--------

desole mais impossible de telecharger cwchredder et ai hesiter a faire easy cleaner

je sais ...je suis nul...mais bon ...j'apprendrais petit a petit..

 

a vous de me dire si vous voyez quelque chose...pour moi les trojans sont encore présent...

je pense que ci dessus vous avez tou ce qu'il vs faut..

 

merci de votre aide..

 

panturle

[megataupe]

Bonsoir IPL. J'ai vu passer nail.exe sur ce log, ça doit te rappeler quelque chose .

[Invité Stonangel]

Bonsoir, télécharge ABIremover.zip: http://forum.hijackthis.de/attachment.php?attachmentid=177

 

Redémarre en mode sans échec(impérativement en mode sans échec)

 

Installe ABIRemover, patiente... pendant l'installation l'explorateur Windows se fermera.

 

Redémarre en mode sans échec.

 

Lance Hijackthis scan et coche:

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

 

Ferme toutes le fenêtres tous les programmes puis Fix checked

 

Redémarre normalement et poste un nouveau rapport pour vérification.