Bonjour à vous,
J'ai un petit problème avec ce trojan cité en titre... Alors pour info, j'ai fait un scan avec malwarebytes, superantispyware, spybot et bitdefender mais aucun ne le detecte.Je ne sais vraiment pas comment m'en débarrasser. Si quelqu'un pouvait m'aider, d'avance merci.
Voici ce que m'indique Avira :
Dans le fichier 'D:\System Volume Information\_restore{41A9A84E-685F-4986-B2BC-5F0F24DCD350}\RP182\A0091761.exe'
un virus ou un programme indésirable 'TR/SPY.KeyLogger.doh' [trojan] a été détecté.
Action exécutée : Refuser l'accès
J'ai également généré un rapport avec hijack que je colle :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:30:59, on 30/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MaxTV\MaxTV4\task_scheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\msfeedssync.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ecofree.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MaxTV Recorder Manager.lnk = C:\Program Files\MaxTV\MaxTV4\task_scheduler.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
End of file - 7376 bytes
Je viens de faire un scan avec usb fix en regardant sur les autres posts
############################## | UsbFix V6.100 |
User : Vincent (Administrateurs) # YOUPITRA-D31273
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:05:28 | 30/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Sempron(tm) 2400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T
C:\ -> Disque fixe local # 19,53 Go (10,5 Go free) # NTFS
D:\ -> Disque fixe local # 129,51 Go (56,59 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,72 Go (2,02 Go free) [USB DISK] # FAT32
H:\ -> Disque CD-ROM # 644,12 Mo (0 Mo free) [WD SmartWare] # UDF
I:\ -> Disque fixe local # 465,11 Go (344,41 Go free) [Camille] # NTFS
J:\ -> Disque fixe local # 76,68 Go (5,51 Go free) # NTFS
################## | Elements infectieux |
C:\Documents and Settings\Vincent\Autorun.exe
H:\autorun.inf
################## | Registre |
################## | Mountpoints2 |
################## | Vaccin |
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | ! Fin du rapport # UsbFix V6.100 ! |
Voici le rapport de usbfix :
############################## | UsbFix V6.100 |
User : Vincent (Administrateurs) # YOUPITRA-D31273
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:05:29 | 30/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Sempron(tm) 2400+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T
C:\ -> Disque fixe local # 19,53 Go (10,44 Go free) # NTFS
D:\ -> Disque fixe local # 129,51 Go (56,59 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,72 Go (2,02 Go free) [USB DISK] # FAT32
H:\ -> Disque CD-ROM # 644,12 Mo (0 Mo free) [WD SmartWare] # UDF
I:\ -> Disque fixe local # 465,11 Go (344,41 Go free) [Camille] # NTFS
J:\ -> Disque fixe local # 76,68 Go (5,51 Go free) # NTFS
################## | Elements infectieux |
Supprimé ! C:\Documents and Settings\Vincent\Autorun.exe
Supprimé ! C:\Recycler\S-1-5-21-1060284298-484061587-725345543-1004
Supprimé ! D:\Recycler\S-1-5-21-1060284298-484061587-725345543-1004
Supprimé ! D:\Recycler\S-1-5-21-796845957-179605362-682003330-500
(!) Non supprimé ! H:\autorun.inf
Supprimé ! I:\$Recycle.Bin\S-1-5-21-2523766772-2648550067-374713460-1003
Supprimé ! I:\$Recycle.Bin\S-1-5-21-2523766772-2648550067-374713460-1004
Supprimé ! I:\$Recycle.Bin\S-1-5-21-2523766772-2648550067-374713460-1005
Supprimé ! I:\$Recycle.Bin\S-1-5-21-3860502802-956603894-2284866813-1000
Supprimé ! I:\Recycler\S-1-5-21-1060284298-484061587-725345543-1004
Supprimé ! I:\Recycler\S-1-5-21-1345395763-2203901350-3449559013-1115
Supprimé ! I:\Recycler\S-1-5-21-4195385875-2151254621-3518211873-1005
Supprimé ! J:\$Recycle.Bin\S-1-5-21-597295294-3630628929-1183428301-1000
Supprimé ! J:\Recycler\S-1-5-21-1060284298-484061587-725345543-1004
Supprimé ! J:\Recycler\S-1-5-21-789336058-1563985344-839522115-500
Supprimé ! J:\Recycler\S-1-5-21-790525478-963894560-839522115-1003
Supprimé ! J:\Recycler\S-1-5-21-796845957-179605362-682003330-500
################## | Registre |
################## | Mountpoints2 |
################## | Listing des fichiers présent |
[28/05/2009 18:06|--a------|0] C:\AUTOEXEC.BAT
[28/05/2009 18:02|---hs----|216] C:\boot.ini
[02/03/2006 14:00|-rahs----|4952] C:\Bootfont.bin
[28/05/2009 18:06|--a------|0] C:\CONFIG.SYS
[30/03/2010 18:05|--ahs----|0] C:\DkHyperbootSync
[28/05/2009 18:06|-rahs----|0] C:\IO.SYS
[30/03/2010 13:48|--a------|127] C:\mbam-error.txt
[28/05/2009 18:06|-rahs----|0] C:\MSDOS.SYS
[02/03/2006 14:00|-rahs----|47564] C:\NTDETECT.COM
[29/05/2009 09:45|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[11/03/2010 17:23|--a------|13020] C:\PureRa.txt
[30/03/2010 18:14|--a------|2920] C:\UsbFix.txt
[07/01/2010 01:09|--a------|394] D:\Raccourci vers Protection pc.lnk
[18/06/2009 23:12|-r-------|88] H:\autorun.inf
[13/10/2009 18:49|-r-------|3684128] H:\Unlock.exe
[14/10/2009 23:28|-r-------|3271968] H:\WD SmartWare.exe
[18/06/2009 19:06|-r-------|695] H:\What is this.html
[24/02/2010 14:53|--a------|35328] I:\_CV-2.doc
[13/05/2005 20:05|--a------|0] J:\AUTOEXEC.BAT
[08/09/2006 10:28|---hs----|219] J:\BOOT.BAK
[04/06/2008 10:28|---hs----|488] J:\boot.ini
[28/08/2001 20:00|-rahs----|4952] J:\Bootfont.bin
[13/05/2005 20:05|--a------|0] J:\CONFIG.SYS
[13/05/2005 20:05|-rahs----|0] J:\IO.SYS
[13/05/2005 20:05|-rahs----|0] J:\MSDOS.SYS
[13/04/2008 11:43|-rahs----|47564] J:\NTDETECT.COM
[13/04/2008 13:31|-rahs----|252240] J:\ntldr
[04/06/2008 12:03|--ahs----|120586240] J:\pagefile.sys
[20/10/2007 13:12|--ahs----|198144] J:\Thumbs.db
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_YOUPITRA-D31273.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.100 ! |