infection trojan?

[woolfys]

Incident Statut Analyse

 

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\TheMagsDashTick\drv surf.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\TheMagsDashTick\ONEMEAL.exe

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\chris\Application Data\Mozilla\Firefox\Profiles\b5t0d53u.default\cookies.txt[]

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt[]

Spyware:Cookie/Humanclick No Désinfecté C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt[31841376]

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt[]

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\yann\Application Data\shimaxislive\Bias Platform Ball Bore.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\yann\Application Data\shimaxislive\cvpmcfsj.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\yann\Application Data\shimaxislive\dgrnojjo.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\yann\Application Data\shimaxislive\inbmjohn.exe

Spyware:Cookie/Hbmediapro No Désinfecté C:\Documents and Settings\yann\Cookies\yann@adopt.hbmediapro[2].txt

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\yann\Cookies\yann@adultfriendfinder[2].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\yann\Cookies\yann@belnk[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\yann\Cookies\yann@dist.belnk[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\yann\Cookies\yann@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\yann\Cookies\yann@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\NPROTECT\00000914.MOZ[]

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\NPROTECT\00000915.MOZ[]

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\NPROTECT\00000917.MOZ[]

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\NPROTECT\00000918.MOZ[]

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\NPROTECT\00000919.MOZ[]

Virus:Trj/Spamer.Y Désinfecté C:\RECYCLER\S-1-5-21-1757981266-1993962763-839522115-1003\Dc1.exe

 

 

 

voila et maintenant,tu crois que c'est bon?

[regis56]

Re

 

Bon Panda nous a trouvé du boulot retour dans un instant !

 

A plus !

[regis56]

Re

 

Voici ce que tu vas devoir faire !

 

 

Télécharge ATF Cleaner par Atribune.

 

 

Démarrer Ewido avec l'icône qui se trouve sur le Bureau.

Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme.

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Maintenant on va supprimer manuellement les fichiers infectieux !

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Documents and Settings\All Users\Application Data\TheMagsDashTick\

Le dossier va s'ouvrir

Retourne dessus(clique droit /supprimer)

 

 

Répète l'opération pour celui là

C:\Documents and Settings\yann\Application Data\shimaxislive\

 

Vider la poubelle !

 

Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

Refais un rapport panda pour vérifier STP

 

A plus !

[woolfys]

voila les rapports hijachthis ,ewido et panda

 

Logfile of HijackThis v1.99.1

Scan saved at 09:08:18, on 13/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\Trend Micro\Internet Security\tmproxy.exe

C:\Program Files\Trend Micro\Internet Security\PccPfw.exe

C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe

C:\Program Files\Trend Micro\Internet Security\PCClient.EXE

C:\Program Files\Trend Micro\Internet Security\PCCGUIDE.EXE

C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.trendmicro-europe.com/vinfo.php...e=TROJ_TPATCH.A

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"

O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"

O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

 

PANDA

 

Incident Statut Analyse

 

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt[]

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\S-1-5-21-1757981266-1993962763-839522115-1003\Dc17.txt[]

 

EWIDO

 

 

 

+ Créé le: 09:07:34, 13/04/2006

+ Somme de contrôle: 56DE296F

 

+ Résultats du scan:

 

:mozilla.9:C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.10:C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.12:C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.15:C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

:mozilla.19:C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

:mozilla.22:C:\Documents and Settings\yann\Application Data\Mozilla\Firefox\Profiles\4g8c2q62.default\cookies.txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

 

 

voila je pense sue c'est bon y'a que des cookies sauf le rapport hijackthis que je ne sais pas traduire

 

merci encore

[regis56]

Bonjour woolfys !

 

Tes rapports sont Ok !

 

Par contre je vois sur ton rapport un reste de bitdefender que tu as du désinstaller non ?

Si c'est le cas fais ceci

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

BitDefender Virus Shield

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

Répete l'opération avec celui là

BitDefender Communicator

 

 

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration" va s'ouvrir

cliquer sur (b]Delete a NT service...[/b]

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

VSSERV

 

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

Répète l'opération pour celui là

XCOMM

 

 

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

 

-Faire un scan antivirus en ligne à titre de vérification

http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)

 

-Poster le(s) rapport(s) trendmicro

 

A plus !

[woolfys]

voila le rapport trend ne trouve rien

il reste juste ca sur hijackthis que je ne peux pas fixer

 

au fait regis vraiment merci pour ton coup de main c tres sympa

 

 

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Ser

ver\bdss.exe" /service (file missing

[regis56]

Re

 

As tu arrété et supprimé le deuxième service comme indiqué ?

 

Peut tu refaire un rapport hijackthis STP

 

 

A plus !