Trojan.Downloader.Win32.Adload.J + ...

salut

supprime ceci
C:\cur32.exe

puis utilise ceci

Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

et refais un scan

a+

Hello Regis,

Merci de ton aide !

1/ Je ne peux pas supprimer le C:\cur32.exe - raison : Impossible de supprimer cur 32 - impossible de lire à partir du fichier ou de la disquette source.

2/ Impossible de downloader quoi que ce soit - raison : Alerte de sécurité - Les paramètres de sécurité actuels ne vous permettent pas de télécharger ce fichier. (pare-feu désactivé).

Qu'en penses-tu ?

Wise.

salut wise:

dans panneau de configuration< option internet <onglet securité, reglet < personnalisé le niveau et met le sur moyen

La tu peux telecharger !

pour le supprimer, fais le en mode sans echec
¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
A+

Re,

J'ai pu télécharger l'utilitaire, le nettoyage est fait.

J'ai pu supprimer C:\cur32.exe en mode sans échec.

Scan avec bitdefender9 : rien à signaler.

Mais j'ai non-stop des fenêtres (pop-up) qui s'ouvrent alors que je ne suis pas en train de "surfer".

J'ai commencé le scanner avec adaware de lavasoft mais il s'arrête lors du scanning de :

En même temps, bitdefender réagit et annonce qu'il a détecté Trojan.Downloader.Win32.TSUpdate.L mais que celui-ci n'a pas infecté l'ordinateur.

(log dans bitdefender : Le fichier c:\system volume information\_restore{be63a541-798a-48c7-ab5a-14361c46e2aa}\rp10\a0012991.exe est infecté avec Trojan.Downloader.Tsupdate.L)

Lavasoft est alors bloqué.

Qu'en penses-tu ?

Encore merci de ton aide !

Wise.

Bonsoir,

Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider

redemarre ton pc et reactive là :
Clic droit sur poste de travail > propriétés > onglet restauration système
puis décocher "désactiver la restauration système".

c'est dans de système de restauration que le virus se trouve.

a+
Nobody is perfect, mais j'essaye .....

Hello Incognito,

Merci de ta participation.

Je viens de rédemarrer après avoir désactiver la restauration.

J'imagine que je dois faire qqch avant de la réactiver, non ?

Lavasoft, bitdefender ?

Wise.

re,

quand tu vois ceci : c:\system volume information\_restore

c'est dans le fichier qui sert à la resto windows que se trouve le virus.

tu peux passer un coup d'antivirus.

Si tout est ok, tu fais un nouveau point de restauration
pour cela tu clik sur demarrer/tous les programmes/accessoires/outil systeme/restauration systeme et tu suis la procedure

a+
Nobody is perfect, mais j'essaye .....

juste pour info
c:\system volume information\_restore = restauration systeme = tout ce qu il y a dedans est inactif !

Pour creer un point, suffit de la reactiver ...

Re tous les deux,

Je ne suis pas certain de suivre.

Je ne comprends pas pourquoi bitdefender ne voit plus rien lors du scanning en profondeur mais qu'il détecte qqch lorsque lavasoft fait son scanning...

Je réactive la restauration quand je suis certain que ce soit clean ?

Wise.

re,

passe un coup d'adaware et dis nous où tu en es ?

a+ Nobody is perfect, mais j'essaye .....

Résultats de Adaware (qui a été jusqu'au bout cette fois):

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-1085031214-706699826-1708537768-1003\software\micro­soft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-1085031214-706699826-1708537768-1003\software\micro­soft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-1085031214-706699826-1708537768-1003\software\micro­soft\windows\currentversion\explorer\comdlg32\lastvisitedmru­
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-1085031214-706699826-1708537768-1003\software\micro­soft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1085031214-706699826-1708537768-1003\software\micro­soft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened



Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@realmedia[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:valérie@realmedia.com/
Expires : 1-01-2021 1:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@247realmedia[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:valérie@247realmedia.com/
Expires : 1-01-2021 1:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@atdmt[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:valérie@atdmt.com/
Expires : 13-11-2010 1:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@www.smartadserver[1].txt
TAC Rating : 3
Category : Data Miner
Comment : Hits:1
Value : Cookie:valérie@www.smartadserver.com/
Expires : 27-11-2010
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 4
Objects found so far: 10



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@247realmedia[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\Valérie\Local Settings\Temp\Cookies\valérie@247realmedia[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@atdmt[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\Valérie\Local Settings\Temp\Cookies\valérie@atdmt[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@realmedia[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\Valérie\Local Settings\Temp\Cookies\valérie@realmedia[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@www.smartadserver[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\Documents and Settings\Valérie\Local Settings\Temp\Cookies\valérie@www.smartadserver[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@atdmt[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\WINDOWS\Temp\Cookies\valérie@atdmt[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@doubleclick[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\WINDOWS\Temp\Cookies\valérie@doubleclick[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@mediaplex[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\WINDOWS\Temp\Cookies\valérie@mediaplex[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@realmedia[1].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\WINDOWS\Temp\Cookies\valérie@realmedia[1].txt

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : valérie@tradedoubler[2].txt
TAC Rating : 3
Category : Data Miner
Comment :
Value : C:\WINDOWS\Temp\Cookies\valérie@tradedoubler[2].txt

______________________________________________________

Il est à noter qu'après le clean-up complet, je n'ai que sur un site internet, celui de CCM...

Wise.

super !

c'est tout clean !

repasses un coup de Bitdefender pour plus de sureté mais à mon avis il n'y a plus de problème.

tiens nous au courant.

a+
Nobody is perfect, mais j'essaye .....

Incognito,

Je relance un bitdefender (ca prend pas mal de temps sur ce vieux pc de ma soeur).

J'ai toujours des pop-ups assez fréquemment, sans être sous IE et quand je l'ouvre. D'où cela peut se lancer ?

bon, on va passer aux grandes manoeuvres :

télécharges HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

a+ Nobody is perfect, mais j'essaye .....

OK. Je pense que ça vaut mieux de gratter un peu :-).

J'ai l'impression que c'est lié à la base de registre.

La plupart des pop-ups s'ouvre avec un premier intitulé avec une clé de registre avant de prendre un nom comme oas-centrale/realmedia etc...

Je finis le scan bitdefender et j'attaque le hijackthis...

A tt de suite ;-)

Regis, Inco,

Rien à signaler du côté de Bitdefender.

Voici le log Hikackthis :

Logfile of HijackThis v1.99.1
Scan saved at 22:46:14, on 14/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\RFA\rfagent.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.1800searchonline.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [rfagent] "C:\Program Files\RFA\rfagent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\enj4l11q1.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
___________________________________________________

Qu'en pensez-vous ?

Wise.

Qqn ?
Puis-je envisager de fixer les lignes suivantes ?

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.1800searchonline.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

salut
oui fixe les et remet un log

a+

Re après quelques jours sans activité :-)

J'ai fixé les quelques lignes et voici mon nouveau log :

Logfile of HijackThis v1.99.1
Scan saved at 13:25:08, on 19/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\hijackthis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\irrol5931.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Qu'en pensez-vous ?

Wise.