virus ou trojanRésolu/Fermé

Question

Bonjour, 

Depuis aujourd'hui il s'avère que j'ai des soucis avec mes navigateurs internets.
Lorsque je clique sur certains liens, je suis renvoyés vers des sites qui n'ont rien avoir avec le lien sur lequel j'ai cliqué. Pouvez-vous m'éclairez sur le problème svp.

Voici un log hijackthis que je viens juste de réaliser. Merci d'avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:58, on 08/11/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18975)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Marcus\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [{79A6B44F-8764-82F6-B56E-1CFC465E6DB0}] C:\Users\Marcus\AppData\Roaming\Iwzyon\iluwc.exe
O4 - HKCU\..\Run: [{2C94BCAB-9E3B-771E-C8F1-537B0707849B}] C:\Users\Marcus\AppData\Roaming\Arfian\opis.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - User Startup: winhelp.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\aestsrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

jlpjlp · Answer

slt,

Télécharge ici :OTL
http://www.itxassociates.com/OT-Tools/OTL.exe
? enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

? Coche les 2 cases Lop et Purity

? Coche la case devant tous les utilisateurs

? règle age du fichier sur "60 jours"

? dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

?Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

??? NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

? Clique sur Parcourir et cherche le fichier ci-dessus.

? Clique sur Ouvrir.

? Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

? Copie ce lien dans ta réponse.

?? Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

marcus_085 · Answer

Voici les deux liens résultants du dépot de fichiers.

http://www.cijoint.fr/cjlink.php?file=cj201011/cijBV8oTGv.txt 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijCfJcLq4.txt

jlpjlp · Answer

télécharge malwarebyte antimalware, mets le à jour et colle une analyse rapide avec

marcus_085 · Answer

Bonjour, voila le résultat du l'analyse rapide avec malwarebytes  mais d'abord je tiens à préciser que je n'ai pas supprimmé les éléments détectés.
Est ce que je dois les supprimmer avant de continuer ?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5081

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

09/11/2010 14:57:05
mbam-log-2010-11-09 (14-57-05).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 149586
Temps écoulé: 7 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{2c94bcab-9e3b-771e-c8f1-537b0707849b} (Trojan.ZbotR.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{79a6b44f-8764-82f6-b56e-1cfc465e6db0} (Trojan.ZbotR.Gen) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Public\Documents\Server\admin.txt (Malware.Trace) -> No action taken.
C:\Users\Public\Documents\Server\server.dat (Malware.Trace) -> No action taken.
C:\Users\Public\Documents\Windows\winhelp.exe (Trojan.Agent) -> No action taken.
C:\Users\Marcus\AppData\Local\Temp	mpfb318b5a\whf24.exe (Trojan.Hiloti) -> No action taken.
C:\Users\Marcus\AppData\Roaming\Arfian\opis.exe (Trojan.ZbotR.Gen) -> No action taken.
C:\Users\Marcus\AppData\Roaming\Iwzyon\iluwc.exe (Trojan.ZbotR.Gen) -> No action taken.

jlpjlp · Answer

ok

supprime ce qui est trouvé

puis remets nous un rapport OTL tout neuf

marcus_085 · Answer

Voici le rapport les adresses émises par l'outil OTL ainsi que le rapport malwarebytes :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijuj2sceG.txt 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijqRedZI9.txt 


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5081

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

09/11/2010 15:41:54
mbam-log-2010-11-09 (15-41-54).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 149636
Temps écoulé: 5 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{2c94bcab-9e3b-771e-c8f1-537b0707849b} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{79a6b44f-8764-82f6-b56e-1cfc465e6db0} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Marcus\AppData\Local\Temp	mpfb318b5a\whf24.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Users\Public\Documents\Windows\winhelp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Public\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Public\Documents\Server\server.dat (Malware.Trace) -> Delete on reboot.
C:\Users\Marcus\AppData\Roaming\Arfian\opis.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.
C:\Users\Marcus\AppData\Roaming\Iwzyon\iluwc.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.


Quelle est la suite? :)

jlpjlp · Answer

pour vérifier colle le rapport avec un des 4 premiers antivirus en ligne <= ici

marcus_085 · Answer

Voila le résultat du scan que j'ai effectué avec Eset/Nod32 :

Encore 15 menaces détectées. Lol ;)


C:\Program Files\VistaCodecPack\Tools\renderer32.exe	Win32/Packed.Autoit.E.Gen application
C:\Program Files\VistaCodecPack\Tools\Settings32.exe	Win32/Packed.Autoit.C.Gen application
C:\ProgramData\VistaCodecs\{C02461FA-CBA3-4886-B3C3-BDD45D05B3C3}\Vista Codec Package.msi	menaces multiples
C:\Users\All Users\VistaCodecs\{C02461FA-CBA3-4886-B3C3-BDD45D05B3C3}\Vista Codec Package.msi	menaces multiples
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\55224f0c-32a3fdab	une variante de Java/TrojanDownloader.OpenStream.NAU cheval de troie
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\34abf3dc-687d8fb2	une variante de Java/TrojanDownloader.OpenStream.NAU cheval de troie
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\556445eb-4ea9e22e	une variante probable de Win32/Agent.DYXWUMY cheval de troie
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\5473416c-58f37117	menaces multiples
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\409baf2f-1404e5c9	une variante de Java/TrojanDownloader.OpenStream.NAU cheval de troie
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\2ab71af0-5d75f904	une variante probable de Win32/Agent.FQRCZBA cheval de troie
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\299b3ab2-7d69be90	une variante de Java/TrojanDownloader.Agent.NAN cheval de troie
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\e649f74-67b51e6e	menaces multiples
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\fa8f07a-1b7ca26d	une variante probable de Win32/Agent.DYXWUMY cheval de troie
C:\Users\Marcus\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp	une variante de Win32/Kryptik.HZU cheval de troie
C:\Users\Public\Documents\Server\hlp.dat	Win32/Bamital.EQ cheval de troie

jlpjlp · Answer

supprime ce qui a été trouvé par nod32

_______________


puis

analyse ces 3 fichiers sur virus total et colle nous les rapports
https://www.virustotal.com/gui/

C:\Windows\explore.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\wininit.exe 

_______________

tu es en reseau ?

marcus_085 · Answer

Alors, j'ai supprimé ce qui a été trouvé par nod 32 puis, j'ai utilisé virus total et rien n'a été trouvé. 
Non, je ne suis pas en réseau.

jlpjlp · Answer

encore des soucis avec le pc?

remets un rapport avec nod32 pour vérifier

marcus_085 · Answer

J'ai fais un scan avec Nod 32. Il n'a rien trouvé. 
C'est bon? Est ce que je suis guéri docteur? lol
Est ce que je peux classer le sujet comme résolu

jlpjlp · Answer

oui c'est bon

garde malwarebyte et désinstalle OTL utilisé

bonne suite

marcus_085 · Answer

Merci beaucoup.

Virus ou trojan

14 réponses

Discussions similaires

Newsletters