Signaler

[win32:trojan_gen] pdfcreator_toolbar.dll [Résolu/Fermé]

Posez votre question jipicy 43485Messages postés jueves, 28 de agosto de 2003Date d'inscription ModérateurStatut 7 novembre 2010 Dernière intervention - Dernière réponse le 14 janv. 2009 à 20:24 par jfkpresident
Salut vous z'autres,

29/09/2008 13:30:36 SYSTEM 1792 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll" file.

C'est le charmant message d'accueil d'Avast auquel j'ai eu droit ce matin, sur 2 PC différents qui plus est.
Bon à part les mettre en quarantaine, après avoir scanné le dossier où il était et passé un coup de Spybot et Ad-Aware (juste des cookies de trouvés), de quel genre de rapport avez-vous besoin ?

Merci d'avance à ceux/celles qui s'y colleront ;-))
Afficher la suite 
Utile
+2
plus moins
Suffit de cocher la croix verte sous le 1er thread et la discussion s'ajoute automatiquement dans "Tes Interventions", sans avoir besoin d'intervenir ;-))

Je sais ,par contre toi tu as oublié le log hijack ?!
Cette réponse vous a-t-elle aidé ?  
jipicy 43485Messages postés jueves, 28 de agosto de 2003Date d'inscription ModérateurStatut 7 novembre 2010 Dernière intervention - 30 sept. 2008 à 08:33
Ben non, je n'ai pas oublié, mais comme le log c'est au taf et que quand j'ai répondu j'étions chez moi, je n'ai pas encore le don d'ubiquité ;-))

Il arrive le log d'ici quelques minutes... à de suite mister president ;-)
Utile
+1
plus moins
Up ;-))

Thanks.
Utile
+1
plus moins
Jipigy,

Télécharge HijackThis ici :

-> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en CCM.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes.

Lance Hitjack this
Do a system scan and save a log file

Post le rapport généré ici stp...
Utile
+1
plus moins
bonsoir a vous ;

pour suivre .......;)
jipicy 43485Messages postés jueves, 28 de agosto de 2003Date d'inscription ModérateurStatut 7 novembre 2010 Dernière intervention - 29 sept. 2008 à 22:41
Salut à toi,

Suffit de cocher la croix verte sous le 1er thread et la discussion s'ajoute automatiquement dans "Tes Interventions", sans avoir besoin d'intervenir ;-))
Utile
+1
plus moins
Voilà le log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:53, on 30/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Cobian Backup 8\Cobian.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\2BrightSparks\SyncBack\SyncBack.exe
C:\Program Files\Cobian Backup 8\cbInterface.exe
C:\Documents and Settings\jeanphi\Mes documents\Firefox\firefox.exe
C:\hijackthis\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [Cobian Backup 8] "C:\Program Files\Cobian Backup 8\Cobian.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SyncBack.lnk = C:\Program Files\2BrightSparks\SyncBack\SyncBack.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB7C3611-B6A1-437B-A4D3-D070D4C06D10}: NameServer = 192.168.1.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\PSSDNSVC.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--------
End of file - 8473 bytes

Merci à vous.
jipicy 43485Messages postés jueves, 28 de agosto de 2003Date d'inscription ModérateurStatut 7 novembre 2010 Dernière intervention - 30 sept. 2008 à 15:45
Up ;-))

Question subsidiaire : Elles s'attrapent comment ces bébêtes ?

Merci à vous.
Utile
+1
plus moins
re;

si slouby76 ne se manifeste pas je te répondrais ce soir ...
Utile
+1
plus moins
jipicy : tu as deux antivirus actifs sur ton pc ,supprimes en un !

pour vérifier que avast ne l'as pas détecté en tant que FP :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
http://eric.71.mespages.googlepages.com/ToolBarSD.exe

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)
jipicy 43485Messages postés jueves, 28 de agosto de 2003Date d'inscription ModérateurStatut 7 novembre 2010 Dernière intervention - 1 oct. 2008 à 06:28
Re-

Bon je ferai ça demain maintenant vu qu'aujourd'hui je ne bosse pas ;-)

pour vérifier que avast ne l'as pas détecté en tant que FP :
FP ? C'est quoi cette bête ?

Pour les 2 anti-virus je sais, c'est mon prédécesseur qui avait mis ça en place, mais c'est pas gènant, apparemment il n'y a pas d'interaction entre les deux, mais je vais m'atteler à virer clamav dans les jours qui suivent.

En attendant merci et bonne journée. La bise à Jacky ;-))
Utile
+1
plus moins
Re-

Voilà le rapport :


-----------\\ ToolBar S&D 1.2.1 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Phoenix FirstBios(tm) Desktop Pro Version 2.0 for IBM ThinkCentre.
USER : USER ( Not Administrator ! )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1229 [VPS 081001-0] 4.8.1229 (Activated)
C:\ (Local Disk) - NTFS - Total : 33 Go Free : 8 Go
D:\ (CD or DVD)
H:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go
I:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go
J:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go
K:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go
L:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go
M:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go
N:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go
O:\ (Disque réseau) - NTFS - Total : 125 Go Free : 99 Go

"C:\ToolBar SD" ( MAJ : 24-09-2008|21:50 )
Option : [1] ( 02/10/2008|12:40 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(admin.DOMAINE) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
(admin.DOMAINE) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus

(USER) - {0538E3E3-7E9B-4d49-8831-A227C80A7AD3} => forecastfox
(USER) - {3335F91D-2AEF-4097-B831-C96C60349822} => leetkey
(USER) - {C0CB8BA3-6C1B-47e8-A6AB-1FAB889562D9} => quicknote
(USER) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
(USER) - {dc572301-7619-498c-a57d-39143191b318} => tabmixplus


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.fr/"
"Search Page"="http://www.google.com"
"Search Bar"="http://www.google.com/ie"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 02/10/2008|12:41 - Option : [1]

-----------\\ Fin du rapport a 12:41:28,96


Merci.
Utile
+1
plus moins
Up... merci ;-))
Utile
+1
plus moins
salut jipicy ;

29/09/2008 13:30:36 SYSTEM 1792 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll" file.


tu l'as supprimé ?
jipicy 43485Messages postés jueves, 28 de agosto de 2003Date d'inscription ModérateurStatut 7 novembre 2010 Dernière intervention - 4 oct. 2008 à 09:21
Hi,

Ben oui, enfin je l'ai envoyé en quarantaine lors de l'alerte et de la découverte par Avast... puis j'ai lancé ce thread...

Fallait faire autre chose ?
Utile
+0
plus moins
Fallait faire autre chose ?

Non pour moi c'est tout bon , peut etre pensé a changer avast vu qu'il n'est plus ce qu'il était mais bon ca reste a l'appréciation de l'intéressé ..

Rien a ajouter ?
jipicy 43485Messages postés jueves, 28 de agosto de 2003Date d'inscription ModérateurStatut 7 novembre 2010 Dernière intervention - 4 oct. 2008 à 13:05
Rien a ajouter ?
Si ! Merci pour tout et bon week-end ;-))
Utile
+0
plus moins
Bon week-end a toi aussi et profites de ces courts instants ;)

@+
Utile
+0
plus moins
jean pierre : créé ton propre message afin qu'on puisse t'aider STP MERCI !
procede comme suit:http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !