TROJAN HORSE en 40e, mais scann normal !!

[ADOUFLINE]

bonsoir tous le monde,

 

je débute mais j'ai qd même réussit à mettre un trojan horse (VFO.EXE) en quarantaine avec mon antivirus Symantec. Le soucis est que mon anglais est léger et je sais pas comment le supprimer totalement (il est sur C/Windows mais pas d'autres précision).

 

Suite à cela je me suis blindée, peut être trop, je ne sais pas, vous me le direz.

 

Je viens de faire un hijackthis et d'après les interprétations que j'ai pu trouver sur le site, je n'ai pas l'impression que j'ai un trojan horse, je ne vois aucune trace.

Je vous joins copie de mon scann afin que qqu'un me donne son avis

Par avance merci à ceux qui me répondront

 

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\a-squared\a2guard.exe

c:\Program Files\Numericable\Mon Assistant Internet\bin\mpbtn.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Yahoo!\YPSR\ypsr.exe

C:\Program Files\Symantec AntiVirus\VPTray.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec AntiVirus\VPTray.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: Mon Assistant Internet.lnk = C:\Program Files\Numericable\Mon Assistant Internet\bin\matcli.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

[Thanos]

salut ADOUFLINE

 

Concernant les logiciels que tu as téléchargé, il faut choisir entre Ewido et A²: d'apres expérience ,je peux te dire qu'Ewido est plus performant

 

Ton rapport ne montre pas d'infection, fais le scan suivant et poste le rapport=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Un virus en quarantaine n'est plus actif,donc pas d'inquiêtude! Tu peux vider la quarantaine de Norton par ses options.

[ADOUFLINE]

salut ADOUFLINE

 

Concernant les logiciels que tu as téléchargé, il faut choisir entre Ewido et A²: d'apres expérience ,je peux te dire qu'Ewido est plus performant

 

Ton rapport ne montre pas d'infection, fais le scan suivant et poste le rapport=>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Un virus en quarantaine n'est plus actif,donc pas d'inquiêtude! Tu peux vider la quarantaine de Norton par ses options.

[Thanos]

Pour répondre, utilise le bouton en bas de page "Répondre" entre "Flash" et "Nouveau"

[ADOUFLINE]

Merci de la rapidité pour ta réponse,

 

je viens de désinstaller A2 et Panda est en cours

Déja 11 logiciels espion sur les disques locaux... AIE AIE AIE... je sens que c'est pas bon du tout ca

par contre, ca m'a l'air super long, est ce que j'aurais du choisir autre chose que l'analyse sur les disques locaux ?

 

En ce qui concerne mon trojan en quarantaine, symantec est configuré pour mettre en quarantaine les virus ou autres : est ce qu'il ne faudra pas que je clique sur la case "delete infected file" plutot pour le tuer d'un seul coup, sans qu'il puisse faire des petits ? on sait jamais si c'est un coriace, non ?

 

dis moi

 

bon j'ai déja 18 logiciels espion et 1 outils de piratage/outils indésirable,

mon scann est au 3/4

 

tu es la charles ??

[Thanos]

Déja 11 logiciels espion sur les disques locaux... AIE AIE AIE... je sens que c'est pas bon du tout ca

par contre, ca m'a l'air super long, est ce que j'aurais du choisir autre chose que l'analyse sur les disques locaux ?

Ne t'inquiêtes pas, ce n'est pas forcément des grosses infections!

Oui le scan des disques locaux est long,d'autant plus si tu as un gros disque dur!Mais c'est nécéssaire popur vérifier si tout va bien!

 

En ce qui concerne mon trojan en quarantaine, symantec est configuré pour mettre en quarantaine les virus ou autres : est ce qu'il ne faudra pas que je clique sur la case "delete infected file" plutot pour le tuer d'un seul coup, sans qu'il puisse faire des petits ? on sait jamais si c'est un coriace, non ?

Je dirait qu'il est préférable de choisir "mise en quarantaine" pour la bonne raison que les antivirus ne sont pas infaillibles! si jamais un fichier légitime a été mis en quarantaine par erreur, tu peux le restaurer.Alors que si tu les élimine, c'est définitif je pense .(je ne connais pas bien Norton, il n'est guerre apprécié sur les forums ,si je dis une bêtise, qu'on me reprenne!!)

 

Pour vider la quarantaine=> http://service1.symantec.com/SUPPORT/INTER...000928101848905

 

Vooilà ce qui est dit de la quarantaine pour info =>

Norton AntiVirus détecte parfois un virus inconnu, qui ne peut pas être éliminé avec les définitions de virus actuelles. Il arrive aussi qu'un fichier que vous pensez infecté ne soit pas détecté. Vous pouvez stocker des fichiers dans une zone spéciale dénommée Quarantaine. En cliquant sur Afficher rapport, vous pourrez voir quels sont les fichiers mis en quarantaine par le logiciel, mais aussi vous pourrez vous même mettre des fichiers en quarantaine.

 

Les fichiers en quarantaine ne peuvent plus interagir avec le reste du système, ce qui empêche les virus éventuels de se répandre

la suite ici=> http://web.hec.ca/virtuose/index.cfm?page=208

Modifié le 30 janvier 2006 par charles ingals

[ADOUFLINE]

scann fini voilà le rapport ci-dessous.

concernant les cookies, je vide tout tous les jours, normal qu'il y en ai autant ?

 

Incident Statut Analyse

 

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@as1.falkag[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt

Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@com[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@as1.falkag[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@atdmt[1].txt

Spyware:Cookie/Falkag No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq37.tmp

Spyware:Cookie/Weborama No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq38.tmp

Spyware:Cookie/Atlas DMT No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq3D.tmp

Spyware:Cookie/Atlas DMT No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq402.tmp

Spyware:Cookie/Bluestreak No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq403.tmp

Spyware:Cookie/Doubleclick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq404.tmp

Spyware:Cookie/Weborama No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq405.tmp

Outil indésirable:Application/Winfixer2005 No Désinfecté C:\WINDOWS\Downloaded Program Files\UERSV_0001_LPNetInstaller.exe

[Thanos]

Tout va bien mis à part Winfixer qui est présent:

 

Outil indésirable:Application/Winfixer2005 No Désinfecté C:\WINDOWS\Downloaded Program Files\UERSV_0001_LPNetInstaller.exe

 

-TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier)

 

Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:

-Winfixer2005

 

-Supprime les fichiers/dossiers incriminés (en gras) :

 

-C:\WINDOWS\Downloaded Program Files\UERSV_0001_LPNetInstaller.exe

 

-Vide la corbeille

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

-télécharge SpyBot-Search & Destroy:(il élimine toute trace de Winfixer)

http://spybot.safer-networking.de/fr/download/index.html

-l'installer et le configurer comme dans ce lien=>

http://www.zebulon.fr/articles/spybot_1.php

-Met le à jour et scanne ton pc avec comme montré sur le lien ci dessus

[ADOUFLINE]

je ne trouve pas Winfixer2005 dans mes logiciels installés, il ne peux pas avoir un autre nom ?

[Thanos]

Il se peut que tu ne le trouve pas dans le Paneeau de configuration ,section Installer /Désinstaller.

 

Par contre le fichier UERSV_0001_LPNetInstaller.exe lui est bien présent! il faut l'éliminer ,tu le

 

trouvera dans le dossier C:\WINDOWS\Downloaded Program Files

 

Profites en pour faire ceci :

 

ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

Modifié le 30 janvier 2006 par charles ingals