[résolu]Trojans multiples et multipliés

dreamer9 · le 15 août 2005

Bonjour,

Depuis 2 semaines, j'ai des fenetres explorer qui s'ouvrent sans cesse (malgrès l'anti popup de google).

Secuser.com detecte le trojan TROJ VLINCE A :

TROJ VLINCE A Non Cleanable C:/WINDOWS/system32/kqdic.dll

Je demande la suppression, mais à chaque scan, il le retrouve à des endroits différents.

Antivirus personnal pro lui detecte deux trojans : TR CleanerA et l'autre j'ai oublié (des qu'il réapparait je le poste, à moins qu'il y est un journal que je n'ai pas trouvé?)!

C:\DOCUME~1\ASCO\LOCALS~1\TEMP\C27D8FEF-D7AE-42C0-82E6-F30598265639.EXE

Mais ces trojans reviennent sans cesse aussi, malgrès le delete.

Après chaque nettoyage (delete), les fenetres intempestives continuent à s'ouvrir (donc le pb est-il bien detecté ou les trojans se reinstallent-ils instantanement?)

De plus, mon ordi commence à planter sérieusement; J'ai dû restaurer le système, bref, je m'inquiète de plus en plus.

Merci beaucoup à ceux qui voudrons bien se pencher sur mon sort.

Pollux_63 · le 15 août 2005

Bonjour et bienvenu sur zeb-sécurité.

Dans un premier temps déroule la procédure de mégataupe:

Phase 1

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

Phase 2

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

Phase 3

- nettoyage rapide du disque dur :

Démarrer / Exécuter / taper CleanMgr et valider

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

Vider la corbeille

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

- désinstallation d'Antivir

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

Phase 4

- redémarrer en mode normal

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

- attendre l'analyse et la réponse.

Auteur: megataupe

ipl_001 · le 15 août 2005

Bonjour dreamer9, bonjour à tous,

---édition :

Pollux_63, excuse moi d'avoir posté en même temps que toi ! Je te laisse résoudre le problème ; ce ne doit pas être trop ardu !

Je garde un oeil sur la discussion pour le cas où tu aurais besoin d'aide.

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Déroule la procédure de Zeb'Sécurité :

"Pré-Nettoyage d'un PC infecté" - http://forum.zebulon.fr/index.php?showtopic=69176

Lorsque tu auras posté le rapport HijackThis en mode sans échec demandé, je l'analyserai et te dirai que faire.

dreamer9 · le 15 août 2005

Merci beaucoup pour votre aide.

J'ai suivi les instructions, mais avant tout, je précise qu'en me reconnectant, j'ai toujours des fenêtres qui s'ouvrent.

Voici le fichier log :

Logfile of HijackThis v1.99.1

Scan saved at 13:30:53, on 15/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\CleanMgr.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\asco\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [Network Access] winssh.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [xp service pack 2] xpsp2.exe

O4 - HKLM\..\RunServices: [Network Access] winssh.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\9 Telecom\modem ADSL USB Comtrend CT-350\DSLMON.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f011.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC7270E1-2A8F-40AD-9A02-4B418FC01216}: NameServer = 194.117.200.10

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\wbnfax.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Local Security Authority Server (LSA Server) - Unknown owner - C:\WINDOWS\system32\sys.exe (file missing)

O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)

A plus tard

ipl_001 · le 15 août 2005

Rebonjour dreamer9, Pollux_63, rebonjour à tous,

Merci beaucoup pour votre aide.
J'ai suivi les instructions, mais avant tout, je précise qu'en me reconnectant, j'ai toujours des fenêtres qui s'ouvrent...

La procédure utilisée n'est qu'un nettoyage général, pas le vrai...

Je laisse Pollux_63 répondre à ton log puisque je l'y ai invité... s'il n'a pas répondu d'ici 20 minutes, j'analyserai le problème.

dreamer9 · le 15 août 2005

OK, merci

Pollux_63 · le 15 août 2005

rebonjour dreamer9, ipl, tous.

tout d'abord, désolé pour le retard mais j'ai eu quelques petits soucis de connexion.

1/ tout d'abord installe HJT correctement. c'est à dire pas dans un dossier temporaire ni sur le bureu. Ex: C:\HijackThis\HijackThis.exe

2/ Redémarre en mode sans échec.

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [Network Access] winssh.exe

O4 - HKLM\..\RunServices: [xp service pack 2] xpsp2.exe

O4 - HKLM\..\RunServices: [Network Access] winssh.exe

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f011.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\wbnfax.dll

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

5/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows :

-winssh.exe

-xpsp2.exe

Afin de savoir ou ils se trouvent, effuctue une recherche: Démarrer --> Rechercher --> tous les fichiers et tous les dossiers

6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

7/ As-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

dreamer9 · le 15 août 2005

Voila, tout est fait sauf :

1 - la ligne

020................ne se terminait pas par "wbnfax.dll" mais par "nith.dll".

Je ne l'ai donc pas cochée.

2 - J'ai trs des fenêtres qui s'ouvrent....

3 - HijackThis doit-il être trs utilisé en mode sans echec??

A plus atrd, merci

dreamer9 · le 15 août 2005

Bon je veins de repasser en mode sans echec, voici le rapport HJT