Trojan (?) a propos media/people on page

martyjul · le 16 juin 2005

Bonjour!

Je fais appel à vous aujourd'hui avant la crise de nerf et la première expérience d'un ordinateur volant par la fenêtre...

Sérieusement je suis infectée depuis quelques semaines maintenant par deux trojan (je crois) qui se nomment apropos media et people on page.

J'ai trouvé hier un autre forum qui conseillait la désinstallation, que j'ai suivie malheureusement impossible de m'en défaire.

Quelqu'un pourrait m'aider

Je peux faire un hijack this et le poster ici....

Merci d'avance

Pollux_63 · le 16 juin 2005

Bonjour martyjul.

Bienvenu sur zebulon!!

Il faudrait que tu commence par faire un peu de ménage sur ton PC :

1°/ supprime le contenu des dossiers suivants :

· C:\WINDOWS\Temp

· C:\Documents and Settings\Ton_nom\Local Settings\Temp

· C:\Documents and Settings\autre_nom\Local Settings\Temp

2°/ télécharge et installe A² sur : http://www.emsisoft.net/fr/software/free/

il est nécessaire de s’enregistrer pour pouvoir l’utiliser. Mets le à jour puis scan et supprime tous ce qu’il trouve.

3°/ télécharge et installe Ad-Aware sur http://www.lavasoft.de/support/download/ - free

Mets le à jour puis scan et supprime tous ce qu’il trouve.

4°/ télécharge et installe Spybot - Search & Destroy sur http://www.safer-networking.org/?page=download Mets le à jour puis scan et supprime tous ce qu’il trouve.

5°/ télécharge et installe EasyCleaner sur http://personal.inet.fi/business/toniarts/ecleane.htm

Mets le à jour puis utilises les fonctions « registre » et « inutile(s) ». Dans les deux cas supprime tous ce qu’il trouve. (ne pas utiliser la fonction « doublons »)

Ensuite tu poste un log HijackThis.

martyjul · le 16 juin 2005

Voila mon rapport hijack this

Logfile of HijackThis v1.99.1

Scan saved at 15:28:05, on 16/06/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\crypserv.exe

C:\Program Files\NavNT\defwatch.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\Program Files\NavNT\rtvscan.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\inetsrv\inetinfo.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\wuauclt.exe

C:\Program Files\NavNT\vptray.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jucheck.exe

C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\Program Files\Microsoft Office\Office\EXCEL.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\WINNT\system32\helmsext.exe

C:\WINNT\system32\ie4hping.exe

C:\PROGRA~1\COMMON~1\rqmq\rqmqa.exe

C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [osrh37l] ie4hping.exe

O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe

O4 - HKCU\..\Run: [rqmq] C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = homecoachis.fr

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = homecoachis.fr

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = homecoachis.fr

O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe

Merci Pollux pour ta réponse!

Je la lis et te réponds

martyjul · le 16 juin 2005

Bonjour martyjul.

Bienvenu sur zebulon!!

Il faudrait que tu commence par faire un peu de ménage sur ton PC :

1°/ supprime le contenu des dossiers suivants :

· C:\WINDOWS\Temp

· C:\Documents and Settings\Ton_nom\Local Settings\Temp

· C:\Documents and Settings\autre_nom\Local Settings\Temp

Je supprime ces fichiers tous les jours!

2°/ télécharge et installe A² sur : http://www.emsisoft.net/fr/software/free/
il est nécessaire de s’enregistrer pour pouvoir l’utiliser. Mets le à jour puis scan et supprime tous ce qu’il trouve.

OK je n'ai pas ça je l'installe

3°/ télécharge et installe Ad-Aware sur http://www.lavasoft.de/support/download/ - free
Mets le à jour puis scan et supprime tous ce qu’il trouve.

C'est fait tous les jours, il ne voit jamais ces deux éléments

4°/ télécharge et installe Spybot - Search & Destroy sur http://www.safer-networking.org/?page=download Mets le à jour puis scan et supprime tous ce qu’il trouve.

Je vais le réinstaller, on m'avait déconseillé d'avoir ad-aware et spybot en meme temps!

5°/ télécharge et installe EasyCleaner sur http://personal.inet.fi/business/toniarts/ecleane.htm
Mets le à jour puis utilises les fonctions « registre » et « inutile(s) ». Dans les deux cas supprime tous ce qu’il trouve. (ne pas utiliser la fonction « doublons »)

OK, je le fais

Je voulais également ajouter que j'ai microsoft antispyware qui tourne tous les jours et qui trouvent ces deux éléments, je les détruis. Il y a également deux fichiers danc C:\program files qui s'installent tous les jours "apps" et "autoupdate", je les efface tous les jours, ils reviennent.

Hier j'ai même effacé des .dll, des clés toute une liste que j'ai trouvé sur le net mais rien n'y fait!

Bon j'installe les deux programmes dont tu parles, je refais un hijack this et je reviens

Merci encore

Ensuite tu poste un log HijackThis.

518754[/snapback]

Modifié le 16 juin 2005 par martyjul

queruak · le 16 juin 2005

Bonjour,

Réponse dans quelques instants,aprés analyse du rapport !

queruak · le 16 juin 2005

Re,

-1-Assure toi d'avoir accés à tous les fichiers.

Poste de travail
Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Puis "Appliquer".

-2-Termine le(s) processus suivant(s).

-rqmqm.exe

-helmsext.exe

-ie4hping.exe

-rqmqa.exe

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->terminer processus.

-3-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [osrh37l] ie4hping.exe

O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe

O4 - HKCU\..\Run: [rqmq] C:\PROGRA~1\COMMON~1\rqmq\rqmqm.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB