trojan.proxy.horst.cgRésolu/Fermé

Question

bonjour a toutes et a tous, particulierement a ceux qui pourraient m'aider. depuis 2 jours mon antivirus (bitdefender 8) me signale un trojan (trojan.proxy.horst.cg) rien a faire pour le deloger,  apres un scan et une supression,  retour du parasite dans le fichier (c:\setup.exe) merci d'avance pour aider un pauvre schtroumpf comme moi (un vrai bleu en informatique).ci-joint le rapport hijackthis:Logfile of HijackThis v1.99.1Scan saved at 11:03:01, on 23/09/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32
vsvc32.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RunDll32.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXEC:\Program Files\QuickTime\qttask.exeC:\Program Files\Winamp\winampa.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Softwin\BitDefender8\bdnagent.exeC:\Program Files\Softwin\BitDefender8\bdoesrv.exeC:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXEC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exeC:\Program Files\CASIO\Photo Loader\Plauto.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\TribalWeb.net	ribalweb.exeC:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exeC:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exeC:\Program Files\Softwin\BitDefender8\vsserv.exec:\program files\softwin\bitdefender8\bdmcon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Heendrickxen\Local Settings\Temporary Internet Files\Content.IE5\6P3GLWF2\HijackThis[1].exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhomeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{sub_rfc1766}/srchasst/srchasst.htmR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=homeR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{sub_rfc1766}/srchasst/srchasst.htmR1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{sub_rfc1766}/srchasst/srchcust.htmR1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.frR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exeO4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exeO4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startupO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialogO4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net	ribalweb.exeO4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.comO16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id2&versionO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dllO20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exeO23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exeO23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)ainsi que les rapports smitfraudfix avant et apres mode sans echecSmitFraudFix v2.98Rapport fait à 12:08:02,81, 23/09/2006Executé à partir de E:	rojan.proxy.horst\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600] - Windows_NTFix executé en mode normal»»»»»»»»»»»»»»»»»»»»»»»» C:\»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Heendrickxen\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HEENDR~1\FAVORIS»»»»»»»»»»»»»»»»»»»»»»»» Bureau»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]"Source"="About:Home""SubscribedURL"="About:Home""FriendlyName"="Ma page d'accueil"SmitFraudFix v2.98Rapport fait à 12:15:33,06, 23/09/2006Executé à partir de E:	rojan.proxy.horst\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600] - Windows_NTFix executé en mode sans echec»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos FixGenericRenosFix by S!Ri»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé.  »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

Salut,Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour  faire fonctionner le scan anti-virus.Une fois qu'il a terminé colle le rapport ici stp_Online Scanner_Kaspersky Online Scanner_My Computerhttps://www.kaspersky.fr/downloads

Utilisateur anonyme · Answer

Salut,clic sur demarrer, poste de travail, C: cherche tu dois avoir ce fichier dnas les parrages et supprime leinstall.exeFait ce nettoyage: (à faire réguliérement)¤Telecharges et installes ceci:CCleaner:Télécharger Ccleanerdans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage" PuisAlors ceci; C:\System Volume Information\_restore(voir rapport Kaspersky) indique que ta restauration du systeme  etait infecté ou est infecté, pour être sûr, nous allons créer un point propre.Clic sur "demarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du systeme"¤ coches la case "desactiver la Restauration du systéme sur tous les lecteurs", puis clic ur "appliquer" ¤ decoches la case et clic sur "appliquer" puis "ok".Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:Clic sur "demarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".Voilà, maintenant le point de restauration est créer si un jour tu décides tu pourra revenir en arriere à la date que tu l'as créer donc à ce jour;  en fesant la marche arriére tu pourra remettre ton ordinateur à la date ou l'on à créer ce point de restauration mais tu perdra les modifications que tu aura faites entre deux.puis remet un rapport hijackthis stp

ch.1976 · Answer

salut, je te remerci encore de t'occuper de mon cas (pas si desespere que ca, mais vraiment sur les nerfs a cause de ces s...)j'ai suivi tes consignes a la lettre et voici le  rapport hijackthisLogfile of HijackThis v1.99.1Scan saved at 01:17:24, on 25/09/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32
vsvc32.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RunDll32.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXEC:\Program Files\QuickTime\qttask.exeC:\Program Files\Winamp\winampa.exeC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Softwin\BitDefender8\bdnagent.exeC:\Program Files\Softwin\BitDefender8\bdoesrv.exeC:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXEC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exeC:\Program Files\CASIO\Photo Loader\Plauto.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exeC:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exeC:\Program Files\Softwin\BitDefender8\vsserv.exec:\program files\softwin\bitdefender8\bdmcon.exeC:\WINDOWS\system32\svchost.exeC:\DOCUME~1\HEENDR~1\LOCALS~1\Temp\61exinjs.d.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Heendrickxen\Local Settings\Temporary Internet Files\Content.IE5\W1EJ0DU7\HijackThis[1].exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhomeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=homeR1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{sub_rfc1766}/srchasst/srchcust.htmR1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%sR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exeO4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exeO4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startupO4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /wO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialogO4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net	ribalweb.exeO4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.comO16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id2&versionO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dllO20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exeO23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exeO23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32
vsvcd.exeO23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Utilisateur anonyme · Answer

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{sub_rfc1766}/srchasst/srchcust.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%sO2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file) O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file) O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /wO16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?idO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cabClic sur demarrer, executer, tape: services.msc ,cherche dans la liste cette ligne, double clic dessus et régle la sur "désactivé"Windows Log Clic sur demarrer, rechercher, cherche et supprime ces fichiers si présentnvsvcd.exesmss.exe < pas celui présent dans /system32/61exinjs.d.exe**Si un fichier persiste lors de la suppression fais ceci:-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalementInstalle ce pare-feu et désactive celui de Windows(SP2) il ne sert à rienKerio: (pare-feu, qui reste gratuit après la periode d'essai!)Kerio Personal Firewall-tutorial: pour configurer et comprendre l'utilisation de Keriohttps://kerio.probb.fr/** a faire seulement si tu as Bitdefender 8 free edition **Telecharge cet autre anti-virus, ferme ta connexion Internet, désinstalle ton Bitdefender et installe celui que tu aura télécharger: Avast car il sera plus performant est gratuit aussiTelecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici avec un nouveau rapport hijackthisEwido:  (reste gratuit après la période d'essai)Télécharger Ewido Security Suite

Utilisateur anonyme · Answer

je suis d'accord avec toi, mais la réputation ne fait pas l'anti-virus par exemple Norton qui reste, moyen.. come je t'avais dit au dessus si tu as la version payante alors garde Bitdefender et ne tiens pas compte du message.Ton rapport Hijackthis me semble ok, scan ton Pc ici:Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour  faire fonctionner le scan anti-virus.Une fois qu'il a terminé colle le rapport ici stp_Online Scanner_Kaspersky Online Scanner_My Computerhttps://www.kaspersky.fr/downloadsA++PS: pense à installer un pare-feu comme indiqué dans mon précedent message

ch.1976 · Answer

salut, j'ai fait le scan kaspersky mais ca ne sent pas bon voici le rapport:Monday, September 25, 2006 12:51:22 PMOperating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)Kaspersky Online Scanner version: 5.0.83.0Kaspersky Anti-Virus database last update: 25/09/2006Kaspersky Anti-Virus database records: 213138  Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true  Scan Target My Computer A:\C:\D:\E:\F:\G:\H:\I:\V:\W:\   Scan Statistics Total number of scanned objects 40958 Number of viruses found 2 Number of infected objects 2 / 0 Number of suspicious objects 1 Duration of the scan process 00:24:09 Infected Object Name Virus Name Last Action C:\WINDOWS\system32\config\system.LOG  Object is locked  skipped   C:\WINDOWS\system32\config\software.LOG  Object is locked  skipped   C:\WINDOWS\system32\config\default.LOG  Object is locked  skipped   C:\WINDOWS\system32\config\SECURITY  Object is locked  skipped   C:\WINDOWS\system32\config\SAM  Object is locked  skipped   C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  skipped   C:\WINDOWS\system32\config\SAM.LOG  Object is locked  skipped   C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  skipped   C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  skipped   C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  skipped   C:\WINDOWS\system32\config\SYSTEM  Object is locked  skipped   C:\WINDOWS\system32\config\SOFTWARE  Object is locked  skipped   C:\WINDOWS\system32\config\DEFAULT  Object is locked  skipped   C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_photo_rx3d98\E_FPRE9CE.EXE  Suspicious: Type_Win32  skipped   C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Object is locked  skipped   C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Object is locked  skipped   C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Object is locked  skipped   C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Object is locked  skipped   C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Object is locked  skipped   C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  skipped   C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  skipped   C:\WINDOWS\system32\CatRoot2\edb.log  Object is locked  skipped   C:\WINDOWS\system32\CatRoot2	mp.edb  Object is locked  skipped   C:\WINDOWS\system32\h323log.txt  Object is locked  skipped   C:\WINDOWS\Temp	mp000007b8	mp00000000  Object is locked  skipped   C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  skipped   C:\WINDOWS\Sti_Trace.log  Object is locked  skipped   C:\WINDOWS\wiaservc.log  Object is locked  skipped   C:\WINDOWS\wiadebug.log  Object is locked  skipped   C:\WINDOWS\SchedLgU.Txt  Object is locked  skipped   C:\Documents and Settings\NetworkService\NTUSER.DAT  Object is locked  skipped   C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped   C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped   C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped   C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped   C:\Documents and Settings\NetworkService\Cookies\index.dat  Object is locked  skipped   C:\Documents and Settings\NetworkService
tuser.dat.LOG  Object is locked  skipped   C:\Documents and Settings\LocalService\NTUSER.DAT  Object is locked  skipped   C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped   C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped   C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped   C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped   C:\Documents and Settings\LocalService\Cookies\index.dat  Object is locked  skipped   C:\Documents and Settings\LocalService
tuser.dat.LOG  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\NTUSER.DAT  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\Local Settings\Historique\History.IE5\index.dat  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\Local Settings\Historique\History.IE5\MSHist012006092520060926\index.dat  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\Local Settings\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\Cookies\index.dat  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\Application Data\Webroot\Spy Sweeper\Logs\SpySweeperLog.txt  Object is locked  skipped   C:\Documents and Settings\Heendrickxen
tuser.dat.LOG  Object is locked  skipped   C:\Documents and Settings\Heendrickxen\UserData\index.dat  Object is locked  skipped   C:\Program Files\Softwin\BitDefender8\asdict.dat  Object is locked  skipped   C:\System Volume Information\_restore{924D0807-FEC2-44D7-8BDD-03A4D3DB0C59}\RP88\A0046848.exe  Infected: Trojan-Proxy.Win32.Horst.aj  skipped   C:\System Volume Information\_restore{924D0807-FEC2-44D7-8BDD-03A4D3DB0C59}\RP88\A0046849.exe  Infected: Trojan-Proxy.Win32.Horst.aj  skipped   C:\System Volume Information\_restore{924D0807-FEC2-44D7-8BDD-03A4D3DB0C59}\RP88\change.log  Object is locked  skipped   D:\System Volume Information\MountPointManagerRemoteDatabase  Object is locked  skipped   E:\System Volume Information\MountPointManagerRemoteDatabase  Object is locked  skipped   Scan process completed.

Utilisateur anonyme · Answer

Salut,ok,c'est bon, tu as juste à faire ça pour regler le problémeAlors ceci; C:\System Volume Information\_restore(voir rapport Kaspersky) indique que ta restauration du systeme  etait infecté ou est infecté, pour être sûr, nous allons créer un point propre.Clic sur "demarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du systeme"¤ coches la case "desactiver la Restauration du systéme sur tous les lecteurs", puis clic ur "appliquer" ¤ decoches la case et clic sur "appliquer" puis "ok".Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:Clic sur "demarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".Voilà, maintenant le point de restauration est créer si un jour tu décides tu pourra revenir en arriere à la date que tu l'as créer donc à ce jour;  en fesant la marche arriére tu pourra remettre ton ordinateur à la date ou l'on à créer ce point de restauration mais tu perdra les modifications que tu aura faites entre deux.

ch.1976 · Answer

salut, apparement plus de trojans a l'horizon, rien a signaler apres un scan avec ewido et avec bitdefender, par contre depuis que j'ai fait ces manip j'ai un message qui apparait a l'ouverture et a la fermeture de windows qui me signale que ma version et pas valide ou que je serai victime d'une contrefacon de logiciel??? dure a accepte apres avoir dû "lacher" 99E. c'est la 1ere fois que j'ai ce message et j'ai xp depuis 2ans.

Utilisateur anonyme · Answer

Salut,

exécute ça puis redémarre le pc et dit moi si ton probléme persiste

http://www.firewallleaktester.com/tools/RemoveWGA.exe

ch.1976 · Answer

salut, radical!, mon pc a redemarre, et le message n'apparait plus, par contre mauvaise nouvelle alerte de bitdefender qui me signale "trojan.proxy.horst.cg" dans "c:\setup.exe" quand y en a plus! y en a encore...

Utilisateur anonyme · Answer

il faut que tu ailles sur C: et que tu regardes à cet endroit tu dois avoir un fichier setup.exe supprime le s'il résiste utilise le mode sans echec

ch.1976 · Answer

c'est fait. j'ai dû le supprimer en mode sans echec. pour l'instant plus de trojans en vue, j'espere que c'est fini. vraiment trop cool pour ton aide un grand MERCI pour ta patience.
A+

Utilisateur anonyme · Answer

ok, c'est cool alors ;-)

hésite pas surtout

A++

ch.1976 · Answer

heu... y' a quel qu'un? "IL" est de retour. sans dec juste le fichier "c:\setup.exe" meme apres suppression en mode sans echec il reaparait. devrait-je trainer ce fardeau toute ma vie...lol

Utilisateur anonyme · Answer

fais un clic droit dessus puis "propriétés" et regarde à quel programme il appartient si indiqué, si tu peux essaye de me l'envoyer la stp boulepate62@laposte.net

ch.1976 · Answer

il n'y a rien d'indiqué "type de fichier: application","attributs: archive" c'est tout. qu'en pense tu?

Utilisateur anonyme · Answer

c'est pas normal c'est qu'un "fichier" recréer ces fichiers..

telecharge ça:
http://download.bleepingcomputer.com/sUBs/combofix.exe

appuyes sur "Y" pour continuer

Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici stp

ch.1976 · Answer

salut, apparement le programme ne se lance pas, je clique sur executé, puis un ecran apparait mais furtivement, il y aurait t-il un autre moyen d'avoir ce programme?

Utilisateur anonyme · Answer

Salut,

essaye en mdoe sans echec pour voir
**Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu..


Sinon, fait un scan avec ton Bitdefender et colle le rapport ici.

Refait un scan avec Ewido et colle le rapport ici stp


Même chose --> Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour  faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

_Online Scanner
_Kaspersky Online Scanner
_My Computer

https://www.kaspersky.fr/downloads

Rj · Answer

Bonjour, j'ai vu votre conversation sur le sujet du trojan.proxy.horst.cq. J'ai le même problème depuis un moment et je n'arrive pas à le régler définitivement.

Actuellement, je redémarre en mode sans échec, et je supprime les deux fichiers suivants:
setup.exe
autorun.inf
Ces deux fichiers sont dans le même répertoire et ont normalement la même date de modification.

J'exécute plusieurs fois bitdefender, windowsdefender, Ccleaner, ...
Bref tout les logiciels dont je dispose pour traiter le sujet.

Pendant quelques temps cela reste bon puis le trojan revient.

J'ai tenté de réaliser vos préconisation, mais pas mieux.
Bon courage

Utilisateur anonyme · Answer

Salut Rj,

créer ton propre post et envoye nous un rappport hijackthis ;-)
index?cat=7#ecrire

Utilisateur anonyme · Answer

non, pas grave c'est juste que ça devient illisible après ;-)

ch.1976 · Answer

salut, j'ai reussi a executé "combofix" voici le rapport:

Heendrickxen - 06-09-26 18:21:14,04    Service Pack 2
ComboFix 06.09.26.2 - Running from: "E:	rojan.proxy.horst"

(((((((((((((((((((((((((((((((   Files Created from 2006-08-26 to 2006-09-26  ))))))))))))))))))))))))))))))))))
 

2006-09-26	02:27	40,448		C:\setup.exe
2006-09-05	11:41	4,608	--a------	C:\WINDOWS\system32
mwcdlog.dll
2006-09-05	11:41	30,720	--a------	C:\WINDOWS\system32
mwcdcocls.dll
2006-08-30	23:56	98,304	--a------	C:\WINDOWS\system32\CmdLineExt.dll
 

((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-26 01:26	163644	--a------	C:\WINDOWS\system32\drivers\secdrv.sys
2006-09-25 02:23	--------	d--------	C:\Program Files\ewido anti-spyware 4.0
2006-09-05 22:49	--------	d--------	C:\Program Files\Poker 770
2006-09-05 11:46	--------	d--------	C:\Program Files\TribalWeb.net
2006-09-05 01:02	61440	--a------	C:\WINDOWS\system32\sockspy.dll
2006-08-24 18:22	--------	d--------	C:\Program Files\Neuf
2006-08-21 14:26	16896	--a------	C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14	23040	--a------	C:\WINDOWS\system32\fltMc.exe
2006-08-21 11:14	128896	--a------	C:\WINDOWS\system32\drivers\fltMgr.sys
2006-07-27 15:26	679424	--a------	C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:27	72704	--a------	C:\WINDOWS\system32\hlink.dll
2006-07-04 14:26	704000	--a------	C:\WINDOWS\system32\DAAPI.dll
2006-07-04 14:25	245760	--a------	C:\WINDOWS\system32\VersitConverter.dll
2006-07-04 14:25	131072	--a------	C:\WINDOWS\system32\NclAPI.dll
2006-06-27 23:04	19968	--a------	C:\WINDOWS\system32\spupdsvc.exe
 

((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpySweeper"="\"C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe\" /0"
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 \"EPSON Stylus Photo RX420 Series\" /O6 \"USB001\" /M \"Stylus Photo RX420\""
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"BDMCon"="C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
"WinampAgent"="C:\Program Files\Winamp\winampa.exe"
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
"BDOESRV"="C:\Program Files\Softwin\BitDefender8\bdoesrv.exe"
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup"
"!ewido"="\"C:\Program Files\ewido anti-spyware 4.0\ewido.exe\" /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ  msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll

 
Completion time: 26/09/2006 18:22:46.04 
ComboFix.txt

ch.1976 · Answer

au cas ou ce serait important j'ai aussi le fichier "autorun.inf" pas loin de "setup.exe", desole mais je n'ai pas fait le rapprochement...merci rj.

ch.1976 · Answer

salut,



         SOS



                          .merci.

Utilisateur anonyme · Answer

Salut,

c'est ok pour Combo, tu peux le supprimer

Supprime les setup et le fichier juste à côté et vois si ça revient

ch.1976 · Answer

salut, les deux fichiers ont ete supprime, en mode sans echec seulement,  mais au bout de 10 minutes nouvelle alerte de bitdefender et retour des deux fichiers a la meme place.

Utilisateur anonyme · Answer

Salut,

fait ça:

Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec) 

Puis refais un netoyage complet avec Ccleaner 


Redémarre ton Pc et fait ça

Télécharge lopxp:
http://pageperso.aol.fr/balltrap34/lopxp.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxp.bat"
quand il à terminé, un rapport s'ouvre : fais un copier-coller puis mets le ici

ch.1976 · Answer

salut, voici le rapport, Rapport fait à 19:26:29,75 le 28/09/2006 Le volume dans le lecteur C s'appelle SYSTEME Le num‚ro de s‚rie du volume est D0B7-C458 R‚pertoire de C:\Documents and Settings\Default User\Application Data 21/09/2005 17:00 62 desktop.ini 21/09/2005 16:58 Microsoft 21/09/2005 16:58 .. 21/09/2005 16:58 . 1 fichier(s) 62 octets 3 R‚p(s) 20078231552 octets libres Le volume dans le lecteur C s'appelle SYSTEME Le num‚ro de s‚rie du volume est D0B7-C458 R‚pertoire de C:\Documents and Settings\All Users\Application Data 05/09/2006 11:41 PC Suite 01/06/2006 23:22 Adobe 08/05/2006 17:27 DVD Shrink 28/04/2006 23:27 Downloaded Installations 09/04/2006 19:23 Spybot - Search & Destroy 02/04/2006 17:10 2587 QTSBandwidthCache 04/12/2005 22:25 Apple Computer 25/11/2005 23:06 nView_Profiles 05/11/2005 15:42 Skype 21/09/2005 18:30 UDL 21/09/2005 18:01 CyberLink 21/09/2005 17:59 Windows Genuine Advantage 21/09/2005 17:00 62 desktop.ini 21/09/2005 16:58 Microsoft 21/09/2005 16:58 . 21/09/2005 16:58 .. 2 fichier(s) 2649 octets 14 R‚p(s) 20078231552 octets libres Le volume dans le lecteur C s'appelle SYSTEME Le num‚ro de s‚rie du volume est D0B7-C458 R‚pertoire de C:\Documents and Settings\Heendrickxen\Application Data 24/09/2006 00:01 Sun 03/06/2006 18:49 Vso 06/05/2006 22:45 Real 29/04/2006 00:17 Nokia Multimedia Player 29/04/2006 00:04 DataLayer 29/04/2006 00:04 Nokia 28/04/2006 23:38 PC Suite 24/03/2006 00:49 dvdcss 03/02/2006 23:48 vlc 28/01/2006 00:05 ppStream 04/12/2005 22:27 Apple Computer 11/11/2005 10:04 Lavasoft 05/11/2005 18:13 Webroot 05/11/2005 15:42 Skype 24/10/2005 22:25 Macromedia 16/10/2005 17:18 AdobeUM 10/10/2005 21:42 Adobe 02/10/2005 15:51 Smart Panel 24/09/2005 14:57 MSNInstaller 22/09/2005 18:29 Help 22/09/2005 18:25 ArcSoft 22/09/2005 12:45 CyberLink 21/09/2005 17:28 Identities 21/09/2005 17:28 62 desktop.ini 21/09/2005 17:28 .. 21/09/2005 17:28 . 21/09/2005 17:28 Microsoft 1 fichier(s) 62 octets 26 R‚p(s) 20078231552 octets libres Le volume dans le lecteur C s'appelle SYSTEME Le num‚ro de s‚rie du volume est D0B7-C458 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 09/01/2006 15:08 Lavasoft 07/01/2006 17:40 Webroot 07/01/2006 17:38 62 desktop.ini 07/01/2006 17:38 Microsoft 07/01/2006 17:38 .. 07/01/2006 17:38 . 1 fichier(s) 62 octets 5 R‚p(s) 20078231552 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C s'appelle SYSTEME Le num‚ro de s‚rie du volume est D0B7-C458 R‚pertoire de C:\WINDOWS\Tasks 21/09/2005 17:26 6 SA.DAT 21/09/2005 17:20 65 desktop.ini 21/09/2005 17:20 .. 21/09/2005 17:20 . 2 fichier(s) 71 octets 2 R‚p(s) 20ÿ078ÿ231ÿ552 octets libres ****************************************** Recherche dans Program files Le dossier C:\Program Files\C2Media n'existe pas *************** Fin du rapport ****************

Utilisateur anonyme · Answer

ça semble ok.

remet un rapport hijackthis stp

ch.1976 · Answer

salut, avant de mettre le rapport je trouve un truc bizzare (peut être sans importance, mais bon)
avant d'être embêté avec ce trojan et juste aprés avoir éliminé ces fichiers en mode sans echec, l'icône de mon disque (c:) était une main tenant un disque dur, tout le temps que bitdefender me signale ce trojan, l'icone se transformait en un petit document avec des petit carrés rouge et bleu et enfin maintenant une main présentant un pc, une boite ouverte et un disque. bref voici mon rapport hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 19:59:00, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\TribalWeb.net	ribalweb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Heendrickxen\Local Settings\Temporary Internet Files\Content.IE5\SCRXPC27\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net	ribalweb.exe
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Utilisateur anonyme · Answer

Ton rapport ets propre mise à part que tu n'as pas installé le pare-feu que je t'avais donné, tu sera mieux protégé
Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio Personal Firewall
-tutorial: pour configurer et comprendre l'utilisation de Kerio
https://kerio.probb.fr/


Puis scanne ton Pc avec ce logiciel, une fois qu'il a finit s'il te trouve des bestioles note les ici stp
Spycatcher Express Free: (en anglais, gratuit)
http://download.tenebril.com/pub/bin/spycatcher-express.exe

Si t'as besoin d'une petite aide en Anglais utilise Google
https://translate.google.com/

ch.1976 · Answer

voici les "bestioles": 
     -ZPORT4AS.dll
     -CddbCdda.dll
     -E FATI9CE.EXE/P31
     -SearchEnhancement
     -YellowPages
     -Stealth Keyboard Interceptor 6.0
     -RKeylogger
     -Dialer-Switchdialer
     -Secret-Crush

Utilisateur anonyme · Answer

Oui, désative celui de Bitdefender et installe Kerio

Oula, il t'a trouvé pas mal de bestioles, clic une des lignes, en bas sur "change action" (je crois) puis choisis "remove" à faire sur chaques lignes

ch.1976 · Answer

ca y est c'est fait, toutes les lignes on été "remouvé" et j'ai installé kerios.

Utilisateur anonyme · Answer

ok, supprime les fichiers suspect, refais un nettoyage avec Ccleaner redémarre ton Pc et vois s'ils reviennent

ch.1976 · Answer

pour une fois j'ai pu supprimé les deux fichiers facilement sans passer par le mode sans echec, donc je pense qu'il y a des grandes chance pour que nous ayons reussi a erradiqué la bête. bien sur j'espere que ce ne sera pas une fausse joie. je laisse le post ouvert et y indiquerai le resultat demain où pour être sûre après demain. bonne nuit et encore merci boulepate.

Utilisateur anonyme · Answer

esperons ^^

Bonne nuit à toi ;-)

A++

ch.1976 · Answer

salut boulepate, desolé de repondre aussi tardivement mais je voulais être sûr de ne plus avoir de problème avec ce trojan  et comme je n'étais pas là du week-end... donc après un petit problème avec le bien nommé "win32.gael3666" bloqué par bitdefender puis eradiqué, il me semble voir l'avenir (avec de bonne prière et quelques petit miracles) plus sereinement en sachant qu'il y a des personnes comme toi sur ce site toujours prêtes a aider des personnes en détresse, comme moi. bon bien sûr c'est pas une noyade, c'est pas un immeuble en feu, mais ça resemble à une belle épine dans le pied et ça quand quelqu'un vous l'enlève et bien on lui dit un grand merci. donc MERCI boulepate et a+ (enfin, j'espère pas bien sûr, ou bien pour t'aider, lol).

Utilisateur anonyme · Answer

Salut Ch

en esperant que ça dure un log moment !

Bon surf et à plus tard si les virus le veulent ;-)

+++

Trojan.proxy.horst.cg

2&version

40 réponses

2&version

Newsletters