Aidez moi à aliminer des trojans trés virulents

PANTURLE · le 15 juin 2005

RE BONJOUR IPL ET STANANGEL...

Etant au travail ,Je serais de retour vers les 18 heures...et serais à votre entiére écoute.......

merci pour votre aide...

le panturle.....

PANTURLE · le 15 juin 2005

au secours au secours..

j'ai de plus en plus de dysfonctionnement , j'ai du mal a me mettre sur internet..

en allumant le PC ...le curseur a du mal a activer les icones..il fait que je reboote..

HELP HELP .....aidez moi , je vous en prie...j'ai fait un scan avec kapersky et il m'en a trouver encore 8...fichiers infecté par different chevaux de troy...sans compter les attaques incessantes via internet..que kapersky , bloque néanmoins..

je suis la et je réclame votre aide a corps et a cris

merci merci de votre aide..

panturle...

PANTURLE · le 15 juin 2005

ci dessous le dernier rapport hitjackis..

Logfile of HijackThis v1.99.1

Scan saved at 19:21:05, on 15/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton Personal Firewall\NISUM.EXE

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\taskmgr.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Zilla Popup Killer] C:\Program Files\Zilla Popup Killer\ZillaPop.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)

le 15 juin 2005

Bonsoir, démarre Hijackthis scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

Ferme toutes les fenêtres tous les programmes puis Fix checked.

Redémarre, scanne avec ton antivirus et dit ce qu'il en est.

le 15 juin 2005

Salut,

CCS = current control set dans la bdr

non seulement il faut virer ces lignes mais ensuite, il faut refaire la connexion, sinon, ca va poser des problèmes

il existe une autre solution qui consste pour supprimer ces valeurs et remettre les valeurs par défaut d'une installation fraiche de Windows

la commande netsh

"Réinitialiser le protocole TCP/IP" de votre carte réseau

Pour le faire, entres la commande suivante dans une invite de commande cmd :

executer : cmd

et tu tapes

netsh int ip reset c:\resetlog.txt

ensuite, refaire les parametres de connexion du FAI

le 15 juin 2005

Merci Tesgaz je note tout ça.

PANTURLE · le 15 juin 2005

tuto suivi a la lettre..

resultat kapersky

1) a0055792.exe chemin:\systeme volume info \-restore {4574 q883-41a6-4728-a4f1-45e20236da39} rp4\a00055792.exe

2) trojan\sys32\i chemin c:\windows\system32\i

bloqué et supprimé par kapersky

ai fait rapporte hitjack...beaucoup de difficulté car cela bug...obligé de rebooter..

entre temps plusieurs attaque de reseau par lovesan ou lssass exploit bloqué par avirus..

1 bakdoor découveert et bloqué par anti virus bakdoor c:\windows\system32 tfp3620 bakdoor.win32.poebot.b

ci desssous rapport..