Accès membre
Login
Inscription
Devenez membre du forum informatique de TPLPC : Inscrivez-vous ici
Pourquoi s'inscrire ? Le forum informatique de TPLPC tente d'apporter de l'aide aux débutants comme aux utilisateurs avertis.
Ce forum informatique aborde les domaines suivants : Windows, Linux, Hardware, Réseau, Sécurité.

> Règles minimales

Ceci est un forum d'entraide. Nous sommes tous ici pour aider et s'entraider. Décrivez clairement votre sujet. Sans langage SMS.
Utilisez le minimum de politesse élémentaire, comme dire Bonjour et Merci. Cela motive pour vous aider.

 
 Reply to this topicStart new topic
> Virus tenace win32 trojan-gen {other}
Al1
posté 17 Oct 2005, 11:09
Message #1


Nouveau TPLPC
Icône de groupe

Groupe : Members
Messages : 4
Inscrit : 17-Oct 05
Lieu : DIJON
Membre no 1.837
Bonjour,
Depuis trois semaine je suis infesté par un virus qui affecte mon dossier système et le registre.
Avast le détecte sans pouvoir l'éliminer.
Je ne sais plus quoi faire.
J' ai fait une analyse avec Hijack this mais je ne sais pas l'interpréter.
Est ce que quelqu'un pourrait m'aider?
Je vous remercie d'avance.
Je vous join ma dernière analyse:

Logfile of HijackThis v1.99.1
Scan saved at 12:08:10, on 17/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe
C:WINDOWSSystem32ctfmon.exe
C:themeGold55CursorXPCursorXP.exe
C:WINDOWSmsnet32.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSwindowsupdates.exe
C:Documents and SettingsalMes documentssysclean.com
C:Documents and SettingsalLocal SettingsTemporary Internet FilesContent.IE5C5ABCL6Rsysclean[1].com
C:Program FilesSinEspiasNo-Spy.exe
C:PROGRA~1MICROS~2OfficeOUTLOOK.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsalMes documentsHijackThisHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:WINDOWSSystem32vtstt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [HP Component Manager] "C:Program FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Alive SYstem] C:WINDOWSSystem32scchost.exe
O4 - HKLM..Run: [JeticoPFStartup] "C:Program FilesJeticoJetico Personal Firewallfwsrv.exe"
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone LabsZoneAlarmzlclient.exe
O4 - HKLM..Run: [MNI.UWFX5V_0001_LP] "C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe"
O4 - HKLM..Run: [Sin Espias] C:Program FilesSinEspiasNo-Spy.exe /autorun
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [CursorXP] C:themeGold55CursorXPCursorXP.exe -s
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:Program FilesGoogleGoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:Program FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127600094968
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: vtstt - C:WINDOWSSystem32vtstt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: msnet32 - Unknown owner - C:WINDOWSmsnet32.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSSystem32HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:WINDOWSsystem32ZoneLabsvsmon.exe
O23 - Service: Windows Updates - Unknown owner - C:WINDOWSwindowsupdates.exe
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:WINDOWSspool.exe (file missing)
Go to the top of the page
 
+Quote Post
 
 Start new topic
Réponse(s) (1 - 4)
gchris
posté 17 Oct 2005, 19:05
Message #2


Expert TPLPC
Icône de groupe

Groupe : Team
Messages : 2.576
Inscrit : 3-Mar 05
Lieu : Paris
Membre no 321
Bonsoir, si c'est avast qui détecte ce trojan, son rapport d'analyse serait plus parlant.
Colle son rapport pour voir, on s'occupera après d'une autre infection.
Go to the top of the page
 
+Quote Post
Al1
posté 17 Oct 2005, 22:03
Message #3


Nouveau TPLPC
Icône de groupe

Groupe : Members
Messages : 4
Inscrit : 17-Oct 05
Lieu : DIJON
Membre no 1.837
J'ai refait plusieurs analyse avec avast, 1 au démarage et une autre après. Mais je n'arrive pas à avoir un compte rendu détaillé de mes analyses.
Ce que je peux dire c'est que chaque fois que je suprime (possible uniquement en scan au démarrage) les fichiers infectés, ils réapparaissent aussitôt l'ordi relancé.
le message qui apparait le plus fréquement est le suivant:
Virus win 32: Trojan-gen {other}
localisé dans C: WINDOWS system 32 rdriv.sys
Je suis désolé de na pas pouvoir être plus précis, mais je ne suis pas du tout habitué à ce genre de problème.
Go to the top of the page
 
+Quote Post
gchris
posté 18 Oct 2005, 18:51
Message #4


Expert TPLPC
Icône de groupe

Groupe : Team
Messages : 2.576
Inscrit : 3-Mar 05
Lieu : Paris
Membre no 321
Démarrer->exécuter-> tape services.msc
Double-clique : Windows Updates -> arrêter
Mets-le sur "Désactivé".

Recommence avec Windows Spooler
---

HijackThis -> Do a system scan only -> coche ces lignes :

O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:WINDOWSSystem32vtstt.dll
O4 - HKLM..Run: [Alive SYstem] C:WINDOWSSystem32scchost.exe
O4 - HKLM..Run: [MNI.UWFX5V_0001_LP] "C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe"
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
O20 - Winlogon Notify: vtstt - C:WINDOWSSystem32vtstt.dll
O23 - Service: msnet32 - Unknown owner - C:WINDOWSmsnet32.exe
O23 - Service: Windows Updates - Unknown owner - C:WINDOWSwindowsupdates.exe
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:WINDOWSspool.exe (file missing)

Ferme les programmes en cours, connexion incluse et fais Fix Checked.
---

Crées un fichier texte (.txt) avec le bloc note et copie/colle ce texte : (attention respecte la ligne vide a la fin du fichier)
---


Code
Windows Registry Editor Version 5.00



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

"rdriv.sys"=-

"WinAwk.exe"=-

"windupdate.exe"=-



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMControlSet002Servicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrdriv]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesiTunesMusic]



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"restrictanonymous" =-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle]

"EnableDCOM" =-



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLegacy_ITUNESMUSIC0000]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLegacy_RDRIV0000]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmangerparametersAutoShareSer
ver]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmangerparametersAutoShareWks]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanworkstationparametersAuto
ShareServer]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanworkstationparametersAuto
ShareWks]



[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

"DoNotAllowXPSP2" =-

"AUOptions" =-

---
enregistre-le sur ton bureau et nomme-le
regspy.reg
et sur type, tu indiques : "tous fichiers"
---

-Redémarre en mode sans échec, (en tapotant F8 au démarrage). Si tu ne comprend pas, >>regarde ici<<.

double-clic sur le fichier reg que tu viens de créer et confirme la fusion à ton registre.
---

Citation
-Assures-toi que tu as accès aux fichiers cachés.
-Explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché
"Masquer les fichiers protégers du système"->décoché


-Supprimes manuellement les fichiers suivants: (en gras)

C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe <-fichier
C:WINDOWSmsnet32.exe <-fichier
C:WINDOWSwindowsupdates.exe <-fichier
C:WINDOWSSystem32scchost.exe <-fichier (attention l'orthographe)
C:WINDOWSspool.exe <-fichier

Vide ta corbeille.
---

Redémarre ton pc.
colle un nouveau rapport HijackThis.
Go to the top of the page
 
+Quote Post
Al1
posté 24 Oct 2005, 21:55
Message #5


Nouveau TPLPC
Icône de groupe

Groupe : Members
Messages : 4
Inscrit : 17-Oct 05
Lieu : DIJON
Membre no 1.837
Merci pour toutes ces infos, je vais essayer tout ça.
Go to the top of the page
 
+Quote Post
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 

RSS Version bas débit Nous sommes le : 1 Dec 2008 - 23:36