HELP Cheval de troie trojan-downloader

salut spacetoons,

Bienvenue dans la communauté CCM,

Merci pour les détails.


Pour commencer
------------------------
• Télécharger MSNFix à partir de ce lien :
http://sosvirus.changelog.fr/MSNFix.zip
voir tutoriel ICI (merci Malekal)
• Enregistrez le fichier sur votre bureau.
• Ne pas double-cliquer sur le fichier
• Faites un clic droit sur le fichier puis Extraire tout, le but étant de récupérer un dossier MSNFix
• Double-cliquez sur le dossier MSNFix afin de l'ouvrir
• Vous trouverez dedans un nouveau dossier ainsi qu'un fichier MSNFix.bat (le .bat peut ne pas apparaître chez vous).
• Double-cliquez sur MSNFix.bat
• Une fenêtre sur fond bleu va s'ouvrir avec un menu.
• Tapez sur la touche R de votre clavier puis la touche entrée pour valider
• Si une infection est détectée, le message Infection Présente s'affichera.
• Pour lancer le nettoyage, il suffit d'appuyer sur n'importe quelle lettre du clavier puis valider par Entrée.
Une fois le nettoyage terminé, le rapport de nettoyage s'ouvre sur le Bloc-Note, tout sélectionner (Ctrl+A).
et Copier (Ctrl+C)/coller (Ctrl+V) ce rapport dans le prochain rapport.


------------------------
- Cliquer sur HiJackThis pour le télécharger sur votre bureau :
- Le tutoriel ici : http://leblogdeclaude.blogspot.com/2006/10/informatique-sect­ion-hijackthis.html

- Installer le sur un répertoire dédié (pas un dossier temporaire).
- Renommer Hijackthis, pour contrer une éventuelle infection de Vundo.
- Renommer le fichier HiJackThis.exe par exemple en CCM (à chercher dans le répertoire d’installation par exemple C:\Program Files\).
- Pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste.
- Taper CCM et Appuyer sur la touche Entrée.
- Générer un rapport en suivant ces indications :
- Double-clic sur CCM.exe.
- Exécuter le et cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note, tout sélectionner (Ctrl+A).
- Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.
Aide : N'hésite pas à consulter l'aide HiJackThis –


A+

Denis Attendez avant de crier victoire, même si vous pensez que tout a été nettoyé :-) (GMT-5h: Québec, CA)
Si la réponse vous convient, dites le, cela aidera la communauté CCM, par avance merci

Bonjour,

Je viens également d'avoir le même problème. J'ai reçu un objet via msn provenant d'un ami et en l'ouvrant le virus accompli sa tâche, ouvre l'une après l'autre une fenêtre pour chacun de mes contacts msn et leur refile gentillement la chose... Ainsi de suite.

Julien

Keiser,

Vous êtes dans le post de spacetoons, là.

Avez vous bien cliqué sur le message souligné en bleu?

Car là vous interféré dans le post d'une autre personne.

Pour écrire un post entièrement nouveau, cliquer ci dessous:
http://pagesperso-orange.fr/rginformatique/section%20virus/d­emofairesontmessage.htm

Ne pas répondre ici Keiser, svp merci.

spacetoons,

bon quand je tape "R" ds msnfix rien ne ce passe ....
c'est que tu n'as pas ou plus d'infection msn.


------------------
Kaspersky donne t-il un nom de fichier et le chemin pour l'infection Trojan-downloader.win32.small.irm ?
Pour le rapport Kaspersky, cliquer sur icône Kaspersky / menu Rapports / bouton Rapports / onglet Détectés / bouton Actions... / enregistrer sous...


>>> NTVMP.exe ***
Pour commencer terminer le processus ntvmp.exe (Ctrl+Alt+Suppr.)
Cliquer sur le fichier puis Terminer processus.

Ensuite afficher les dossiers les fichiers cachés avec windows XP : http://www.astwinds.com/astuces/fichiers_caches.html

Puis chercher le fameux fichierntvmp.exe

---------------------------------
Si vous ne le trouvez pas :
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher taper :
ntvmp.exe
- Type de recherche : sélectionne l'option 6 puis valide [entrée]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.


---------------------------------
Vérifier ce fichier dans ce site: http://www.virustotal.com/

Une fois dans le site, copier et coller le chemin du fichier , dans le rectangle blanc devant le bouton Parcourir...

C:\???\ntvmp.exe <=== copié et coller le chemin trouvé avec OAD

Ensuite cliquer sur le bouton Envoyer le fichier

Le fichier va être examiner par environ 30 moteur anti virus, il va être mis en file d’attente dans un premier temps, soyez patient, laisser tourner.
Le rapport ne sera complet que si la mention "FINISHED" apparaît sur la droite.

Coller le rapport dans le prochain message.


A+ Attendez avant de crier victoire, même si vous pensez que tout a été nettoyé :-) (GMT-5h: Québec, CA)
Si la réponse vous convient, dites le, cela aidera la communauté CCM, par avance merci

salut,

Effectivement C:\Windows\system32\ntvdm.exe est un fichier valide de windows.
Permet de faire tourner les applications 16-bits sur un environnement 32-bits

- message 0 alors j'interdit l'acces ET LA ! le procesus ntvmp.exe me prend 99 % des resources prosseceur du coup tout rame et ca me rend FOU !
- message 10 C:\Windows\system32\ntvdm.exe

Attention à bien copier coller les informations, car ce n'était pas le nom du fichier que tu as donné dans ton premier message.


------------------
- découvert : cheval de Troie Trojan-Downloader.Win32.Small.irm URL: http://members.home.nl/f.middendorp/addz.exe//PE_Patch.Upoly­x//PE_Patch.UPX//UPX
Lien inaccessible pour moi.


>>>Firefox***
* Pour les cookies s'assurer de tout est correctement configurer, Outils / Options / Vie privée >
* Cookies / Les conserver jusqu'à : la fermeture de firefox.
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox.

Voici un lien pour encore mieux optimiser la vitesse de navigation:
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici:
http://www.01net.com/...

------------------
Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Flash Driver] C:\DOCUME~1\usuario\LOCALS~1\Temp\winlogon.exe


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo)
-> http://pageperso.aol.fr/balltrap34/demohijack.htm
Fermer toutes tes applications et ton navigateur puis fix checked.


Ensuite suivre la procédure suivante.
---------------------
-> Démarrer
-> Exécuter...
Taper Services.msc puis valide
Double cliquer sur service Flash Driver
Type de démarrage : "Désactiver"
Cliquer en bas sur "Arrêter"
Valider les changements.
-----
Ouvrir Hijackthis puis:
-> Open the Misc Tools Section
-> Delete an NT Service
Taper Flash Driver puis valide.
----------

Ensuite afficher les dossiers et fichiers cachés, voir ici : http://www.micro-astuce.com/Forum/topic1607.html
Supprimer ce fichier manuellement:
C:\DOCUME~1\usuario\LOCALS~1\Temp\winlogon.exe


----------
Si la suppression est impossible:
Télécharger OTMoveIt2(de Old_Timer) sur le Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double cliquer sur OTMoveIt2.exe pour le lancer.
Copier la liste de fichier ou de dossier qui se trouve en gras ci-dessous,
et coller-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.


C:\DOCUME~1\usuario\LOCALS~1\Temp\winlogon.exe

Cliquer sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Cliquer sur Exit pour fermer.

Il sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas accepter par Yes.


--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)


---------------------
* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
* Ouvre le dossier Clean qui se trouve sur ton bureau.
* Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

Choisis l'option 1 laisses le travailler.
A là fin clic sur une touche pour continuer… comme indiquer.

Puis poste le rapport qui se trouve ici C:\rapport_clean.txt


A+ Attendez avant de crier victoire, même si vous pensez que tout a été nettoyé :-) (GMT-5h: Québec, CA)
Si la réponse vous convient, dites le, cela aidera la communauté CCM, par avance merci

j'ai moi osi un virus le Trojan-Downloader.Win32.Small.irm donc jai suivi lé instruction de ce forum et sur hijackthis j'obtiens cela, merci pour votre aide c franchment chiant ces trucs la :s

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:05:21, on 05/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\Avp32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Maison­\LOCALS~1\Temp\services.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\Maison\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AVP Control Centre Service (AVPCC) - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
End of file - 8248 bytes

Bonjour Miss Eve,

Bienvenue dans la communauté CCM.

Ce post est RÉSOLU.

Pour éviter toutes confusions entre les messages et avoir une aide personnalisé, veuillez créer votre propre post.
Evitez les titres du genre Rapport Hijackthis… Soyez inventif ;-)

Bien lire les liens en bleus SVP.

Pour écrire un post entièrement nouveau, cliquer ci dessous:
http://pagesperso-orange.fr/rginformatique/section%20virus/d­emofairesontmessage.htm
Vous n’êtes peut être pas enregistré sur le site ou vous n'utilisez pas votre mot de passe pour vous identifier dans le forum.
Pour avoir de l’aide de qualité et retrouver vos messages. C’est gratuit, pour cela cliquer sur Comment s’inscrire


REQUINS,
Les modos du forum ont été prévenu.

Bye bye,

Denis