Infection IE, Virus Win32:Dialer-ATI[Trj]Résolu/Fermé

Question

Bonjour,  

je suis en train de tenter la réparation de l'ordinateur d'un pote. Il n'avait pas d'AV sur son PC mais ne se sert que très peu de son PC. Juste du mail, surf sur quelques sites de sports et autres loisirs, aucun téléchargement films/mp3/vidéos hormis les PJ de certains mails. 

Impossible 'installer Antivir sur le PC (je ne sais pas pourquoi), je me suis donc replié sur Avast. Un scan m'a trouvé 2 objets avec le nom u virus qui est dans le sujet de ce post. Je les ai supprimés mais je suis persuadé qu'il oit rester des choses à trainer (y compris des malwares). 

J'ai fait un rapport hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 20:21:35, on 29/11/2011 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v8.00 (8.00.6001.18702) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\AVAST Software\Avast\AvastSvc.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe 
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe 
C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe 
C:\WINDOWS\SOUNDMAN.EXE 
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe 
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe 
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe 
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac 
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe 
C:\Program Files\AVAST Software\Avast\avastUI.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\LogMeIn\x86\LMIGuardian.exe 
C:\Program Files\DAEMON Tools\daemon.exe 
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE 
C:\Program Files\Orange\MailNotifier\MailNotifier.exe 
C:\Program Files\VIA\RAIDaid_tool.exe 
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\ComponentLauncher.exe 
C:\Program Files\Mozilla Firefox\firefox.exe 
C:\Program Files\Mozilla Firefox\plugin-container.exe 
C:\PROGRA~1\Wanadoo\Utilisateur1\Téléchargements\HiJackThis(1).exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail?utm_source=oi&utm_medium=na&utm_campaign=sp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} - (no file) 
R3 - URLSearchHook: (no name) - {402C9DAE-1B66-11DD-B3DE-22D556D89593} - (no file) 
R3 - URLSearchHook: (no name) - {814C76CB-2623-43F4-AAD0-58A0E5190A20} - (no file) 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\Connexion Internet Orange\SearchURLHook\SearchPageURL.dll (file missing) 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll 
O2 - BHO: (no name) - {1d970ed5-3eda-438d-bffd-715931e2775b} - (no file) 
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll 
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll 
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll 
O3 - Toolbar: (no name) - {D3028143-6145-4318-99D3-3EDCE54A95A9} - (no file) 
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll 
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe 
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE 
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" 
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" 
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe 
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" 
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 
O4 - HKCU\..\Run: [EPSON Stylus DX8400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE /FU "C:\WINDOWS\TEMP\E_SB3.tmp" /EF "HKCU" 
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [MailNotifier] C:\Program Files\Orange\MailNotifier\MailNotifier.exe 
O4 - HKCU\..\Run: [orangeinside] C:\Documents and Settings\Renan\Application Data\Orange\OrangeInside\one\OrangeInside.exe 
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAIDaid_tool.exe 
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) 
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll 
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab 
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe 
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe 
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe 
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe 
O23 - Service: Orange update Core Service - France Telecom SA - C:\Program Files\Orange\OrangeUpdate\Service\OUCore.exe 
O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Program Files\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe 

End of file - 8589 bytes 



MERCI pour lui.

Configuration: Configuration: Windows XP / Firefox 8.0.1

jlpjlp · Answer

slt pour voir mieux


Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

tck-lt · Answer

Merci de s'occuper de son problème de PC.

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111201_m15l14q8e13n15

jlpjlp · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

---------------------------------------------------------- 

[HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}] 
C:\Program Files\Montorgueil   



----------------------------------------------------------
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse




puis télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec

et pour conclure colle un rapport avec nod32 en ligne ici: antivirus en ligne

tck-lt · Answer

Pour le premier point (si je comprends bien Avast n'avait pas nettoyé le registre):

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-11-2011-22-57-35.txt
Run by Renan at 29/11/2011 22:57:35
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}

========== Dossier(s) ==========
SUPPRIME Folder: c:\program files\montorgueil


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Dossier(s)


End of clean in 00mn 09s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/11/2011 22:57:35 [747]

tck-lt · Answer

Voici le second :
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8287

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29/11/2011 23:55:42
mbam-log-2011-11-29 (23-55-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 290650
Temps écoulé: 33 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Montorgueil (Porn.Dialer) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\Renan\menu démarrer\programmes\kit de connexion hot (Trojan.PornDialer) -> No action taken.

Fichier(s) infecté(s):
c:\documents and settings\Renan\menu démarrer\programmes\kit de connexion hot\desinstaller starsduporn.lnk (Trojan.PornDialer) -> No action taken.
c:\documents and settings\Renan\menu démarrer\programmes\kit de connexion hot\starsduporn.lnk (Trojan.PornDialer) -> No action taken.

jlpjlp · Answer

supprime ce qui a été trouvé puis passe à la suite

Infection IE, Virus Win32:Dialer-ATI[Trj]

6 réponses

Discussions similaires

Newsletters