Forum informatique Tout Pour Le PC: Virus tenace win32 trojan-gen {other} - Forum informatique Tout Pour Le PC

Aller au contenu

Connexion    Inscription    Aide   

Règles minimales

Ceci est un forum d'entraide. Nous sommes tous ici pour aider et s'entraider. Décrivez clairement votre sujet. Sans langage SMS.
Utilisez le minimum de politesse élémentaire, comme dire Bonjour et Merci. Cela motive pour vous aider.
Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Virus tenace win32 trojan-gen {other}

#1 L'utilisateur est hors-ligne   Al1 Icône

  • Nouveau TPLPC
  • Icône
  • Groupe : Members
  • Messages : 4
  • Inscrit(e) : 17-October 05
  • Location:DIJON

Posté 17 October 2005 à 11h09

Bonjour,
Depuis trois semaine je suis infesté par un virus qui affecte mon dossier système et le registre.
Avast le détecte sans pouvoir l'éliminer.
Je ne sais plus quoi faire.
J' ai fait une analyse avec Hijack this mais je ne sais pas l'interpréter.
Est ce que quelqu'un pourrait m'aider?
Je vous remercie d'avance.
Je vous join ma dernière analyse:

Logfile of HijackThis v1.99.1
Scan saved at 12:08:10, on 17/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesHPhpcoretechhpcmpmgr.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe
C:WINDOWSSystem32ctfmon.exe
C:themeGold55CursorXPCursorXP.exe
C:WINDOWSmsnet32.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSwindowsupdates.exe
C:Documents and SettingsalMes documentssysclean.com
C:Documents and SettingsalLocal SettingsTemporary Internet FilesContent.IE5C5ABCL6Rsysclean[1].com
C:Program FilesSinEspiasNo-Spy.exe
C:PROGRA~1MICROS~2OfficeOUTLOOK.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsalMes documentsHijackThisHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:WINDOWSSystem32vtstt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [HP Component Manager] "C:Program FilesHPhpcoretechhpcmpmgr.exe"
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Alive SYstem] C:WINDOWSSystem32scchost.exe
O4 - HKLM..Run: [JeticoPFStartup] "C:Program FilesJeticoJetico Personal Firewallfwsrv.exe"
O4 - HKLM..Run: [Zone Labs Client] C:Program FilesZone LabsZoneAlarmzlclient.exe
O4 - HKLM..Run: [MNI.UWFX5V_0001_LP] "C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe"
O4 - HKLM..Run: [Sin Espias] C:Program FilesSinEspiasNo-Spy.exe /autorun
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [CursorXP] C:themeGold55CursorXPCursorXP.exe -s
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:Program FilesGoogleGoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:Program FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:Program FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micros...b?1127600094968
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoft...free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsec...scan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: vtstt - C:WINDOWSSystem32vtstt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: msnet32 - Unknown owner - C:WINDOWSmsnet32.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSSystem32HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:WINDOWSsystem32ZoneLabsvsmon.exe
O23 - Service: Windows Updates - Unknown owner - C:WINDOWSwindowsupdates.exe
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:WINDOWSspool.exe (file missing)



0

Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Autres réponses dans ce sujet

#2 L'utilisateur est hors-ligne   gchris Icône

  • Expert TPLPC
  • Icône
  • Groupe : Team
  • Messages : 2577
  • Inscrit(e) : 03-March 05
  • Location:Paris
  • Interests:Informatique

Posté 17 October 2005 à 19h05

Bonsoir, si c'est avast qui détecte ce trojan, son rapport d'analyse serait plus parlant.
Colle son rapport pour voir, on s'occupera après d'une autre infection.

0

#3 L'utilisateur est hors-ligne   Al1 Icône

  • Nouveau TPLPC
  • Icône
  • Groupe : Members
  • Messages : 4
  • Inscrit(e) : 17-October 05
  • Location:DIJON

Posté 17 October 2005 à 22h03

J'ai refait plusieurs analyse avec avast, 1 au démarage et une autre après. Mais je n'arrive pas à avoir un compte rendu détaillé de mes analyses.
Ce que je peux dire c'est que chaque fois que je suprime (possible uniquement en scan au démarrage) les fichiers infectés, ils réapparaissent aussitôt l'ordi relancé.
le message qui apparait le plus fréquement est le suivant:
Virus win 32: Trojan-gen {other}
localisé dans C: WINDOWS system 32 rdriv.sys
Je suis désolé de na pas pouvoir être plus précis, mais je ne suis pas du tout habitué à ce genre de problème.

0

#4 L'utilisateur est hors-ligne   gchris Icône

  • Expert TPLPC
  • Icône
  • Groupe : Team
  • Messages : 2577
  • Inscrit(e) : 03-March 05
  • Location:Paris
  • Interests:Informatique

Posté 18 October 2005 à 18h51

Démarrer->exécuter-> tape services.msc
Double-clique : Windows Updates -> arrêter
Mets-le sur "Désactivé".

Recommence avec Windows Spooler
---

HijackThis -> Do a system scan only -> coche ces lignes :

O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:WINDOWSSystem32vtstt.dll
O4 - HKLM..Run: [Alive SYstem] C:WINDOWSSystem32scchost.exe
O4 - HKLM..Run: [MNI.UWFX5V_0001_LP] "C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe"
O4 - HKLM..Run: [stnospy] C:Program FilesSinEspiasno-spy.exe /autorun
O20 - Winlogon Notify: vtstt - C:WINDOWSSystem32vtstt.dll
O23 - Service: msnet32 - Unknown owner - C:WINDOWSmsnet32.exe
O23 - Service: Windows Updates - Unknown owner - C:WINDOWSwindowsupdates.exe
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:WINDOWSspool.exe (file missing)

Ferme les programmes en cours, connexion incluse et fais Fix Checked.
---

Crées un fichier texte (.txt) avec le bloc note et copie/colle ce texte : (attention respecte la ligne vide a la fin du fichier)
---


Code
Windows Registry Editor Version 5.00



[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

"rdriv.sys"=-

"WinAwk.exe"=-

"windupdate.exe"=-



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMControlSet002Servicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesmsnupdate]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrdriv]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesiTunesMusic]



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"restrictanonymous" =-



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle]

"EnableDCOM" =-



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLegacy_ITUNESMUSIC0000]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLegacy_RDRIV0000]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmangerparametersAutoShareSer
ver]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmangerparametersAutoShareWks]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanworkstationparametersAuto
ShareServer]



[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanworkstationparametersAuto
ShareWks]



[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

"DoNotAllowXPSP2" =-

"AUOptions" =-

---
enregistre-le sur ton bureau et nomme-le
regspy.reg
et sur type, tu indiques : "tous fichiers"
---

-Redémarre en mode sans échec, (en tapotant F8 au démarrage). Si tu ne comprend pas, >>regarde ici<<.

double-clic sur le fichier reg que tu viens de créer et confirme la fusion à ton registre.
---

Citation
-Assures-toi que tu as accès aux fichiers cachés.
-Explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché
"Masquer les fichiers protégers du système"->décoché


-Supprimes manuellement les fichiers suivants: (en gras)

C:Documents and SettingsalMes documentsWinFixer2005ScannerInstallFRA.exe <-fichier
C:WINDOWSmsnet32.exe <-fichier
C:WINDOWSwindowsupdates.exe <-fichier
C:WINDOWSSystem32scchost.exe <-fichier (attention l'orthographe)
C:WINDOWSspool.exe <-fichier

Vide ta corbeille.
---

Redémarre ton pc.
colle un nouveau rapport HijackThis.

0

#5 L'utilisateur est hors-ligne   Al1 Icône

  • Nouveau TPLPC
  • Icône
  • Groupe : Members
  • Messages : 4
  • Inscrit(e) : 17-October 05
  • Location:DIJON

Posté 24 October 2005 à 21h55

Merci pour toutes ces infos, je vais essayer tout ça.

0
Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)


FI Theme | Auto occasion | Formule 1 : La Toile de la F1 | Forum de discussion | Forum Informatique | concours cadeaux | forum informatique