Menu

HijackThis et cheval de troie: winampa, aide! [Résolu/Fermé]

picpuce - 3 mars 2005 à 00:16 - Dernière réponse :  picpuce
- 7 mars 2005 à 19:46
Bonjour,
s'il vous plait, aidez moi à faire quelque chose :

voici mon probleme:
je me suis aperçu que mon ordi était mal protégé avec l'apparition d'un dossier "websiteviewer", d'une icone sur le bureau et d'un fichier misb.exe.

J'ai cherché et trouvé une methode d'eradication que je n'ai pas utilisée car assez spécifique au probleme de la personne ayant posté....

Par contre, grace à ce post, j'ai telechargé avast, kerio et hijackthis.
j'ai installé les 2 premiers, supprimmer le dossier et les icones du cheval de troie.

Vider la poubelle, le dossier Temp, Tempory internet files, cookies, vider la poubelle.

Lancer Avast qui m'a trouvé un autre cheval de troie impossible à supprimmer ( ou renommer ou en quarantaine) par le logiciel avast, puis j'ai essayé manuellement de le supprimmer, renommer; rien à faire. Une fenetre de dialogue apparait disant que le fichier est utilisé par Windows.
En resumer, dans C:/ j'ai un fichier nommer winampa.exe et WINAMPA.dat.

Puis j'ai dezipper hijackthis, fais un scan dont voici la resultat plus bas , svp, decrypter le, merci beaucoup!!


MERCI par avance pour votre reponse!!
picpuce

Logfile of HijackThis v1.99.1
Scan saved at 23:53:52, on 02/03/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\INSTALLATIONS\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAM FILES\FRIENDLY TECHNOLOGIES\BROADBANDACCESS\FTS.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINAMPA.EXE
C:\INSTALLATIONS\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\INSTALLATIONS\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\INSTALLATIONS\NAVIGATEUR\MOZILLA\MOZILLA.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\INSTALLATIONS\ANTIVIRUS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\INSTALLATIONS\ACROBAT\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\CERBMOD.DLL
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\CERES.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINAMPA.EXE
O4 - HKLM\..\Run: [tlnmvx] c:\windows\system\tlnmvx.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\INSTAL~1\ANTIVI~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\INSTAL~1\ANTIVI~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Installations\antivirus\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KPF4] C:\Installations\Firewalls\Kerio\Personal Firewall 4\kpf4ss.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Installations\Navigateur\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Afficher la suite 

12 réponses

0
Utile
Bonjour,
je sais que Winampa.exe est le logiciel de Winamp pour les mp3 mais je ne l'ai pas installé après le formatage en decembre (fait pour que je puisse installer windows 98se).

J'ai dejà redemarrer plusieurs fois mon ordii, le premier cheval de troie n'est pas reapparue.
Que faire avec winampa, svp?

Je me debrouille en informatique, alors pas de language de professionnel, svp, merci.
a bientot
0
Utile
http://Deja, voici l'analyse de ton log par le site Hijackthis.de

Ca devrait t'aider à y voir plus clair
www.hijackthis.de/logfiles/58a42a3162e5246e694a626ebda46e85.html
0
Utile
Le fichier winampa.exe se situe dans c:/program files/winamp.

Comme chez toi, il se trouve dans c: il s'agit d'un fichier indesirable.

Surtout si tu n'as pas winamp

Fixe le avec hijack
0
Utile
ce truc la a l'air bizarre aussi, je veux dire par la que je ne connais pas. Vois tu a quoi ca pourrait correspondre?

O4 - HKLM\..\Run: [tlnmvx] c:\windows\system\tlnmvx.exe

Google ne connait pas tlnmvx. Pas bon signe

Fixe egalement

O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\CERBMOD.DLL
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\CERES.DLL

Je continue a regarder ca mais je suis au taf donc je fais entre deux...

Courage on va l'avoir le s....d
0
Utile
Le reste a l'air correct, donc fixe tout ca, et repasse un hijack ici pour y voir plus clair.
Salut nono, merci pour ton aide,

je n'ai pas encore fixer car je ne sais pas si je dois desactiver la restauration systeme sous windaube 98se (pour les fichiers cachés, ok), je ne sais pas comment faire? de l'aide?

Dans le gestionnaire de tache, il m'apparait la liste suivante:
-packager -- windows
-explorer -- ok
-rnaap -- windows
-mozilla -- ok
-msnmsgr -- messenger
-kpf4gui -- kerio
-loadqm -- msn messenger
-tlnmvx -- date dans propriétés: 18/02/03 version 1,0,2,17 inconnu je ne sais vraiment ce que ça peut etre
-systray -- windows
-ashmaisv --avast
-hpztsb05 -- imprimante
-winampa -- date de création 13/02/05 à 8H05 ça me confirme le troyens: plus d'installation de logiciels après pack office (23 janvier 05) donc incompatible avec ce que j'ai pu faire comme installation
- ashwebsv-- avast


kerio m'a signalé une "demande de sortie" par winampa que j'ai refusé, mais par contre comme je commence à decouvrir kerio, j'ai trouvé la "page" ou le logiciel indique les "connections?" et j'ai une ligne avec winampa, j'ai peut accepter (au debut) avant de configurer (encore que je ne sois pas sure d'avoir tout bien fait).

Comment faire pour refuser une connexion dejà accepter?
Ma question est elle claire?
merci pour tout
pic
picpuce > picpuce - 4 mars 2005 à 08:19

par contre comme je commence à decouvrir kerio, j'ai trouvé la "page" ou le logiciel indique les "connections?" et j'ai une ligne avec winampa, j'ai peut accepter (au debut) avant de configurer (encore que je ne sois pas sure d'avoir tout bien fait).

Comment faire pour refuser une connexion dejà accepter?



Bonjour,
j'ai trouvé comment faire ça!
j'ai mis toutes les possibilités sur refuser pour winampa et tlnmvx.exe.
pic
picpuce > picpuce - 4 mars 2005 à 19:50
Salut,
j'ai fixé les 4 lignes, redemmarrer mon ordi,

verif dans c: j'ai toujours winampa.exe et .dat,

pour le gestionnaire de taches, j'ai ceci:

-explorer -- ok
-rnaap -- windows
-mozilla -- ok
-msnmsgr -- messenger
-kpf4gui -- kerio
-loadqm -- msn messenger
-systray -- windows
-ashmaisv --avast
-hpztsb05 -- imprimante
- ashwebsv-- avast


et pour le log que je viens de faire:

Logfile of HijackThis v1.99.1
Scan saved at 19:35:55, on 04/03/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\INSTALLATIONS\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\INSTALLATIONS\FIREWALLS\KERIO\PERSONAL FIREWALL 4\KPF4SS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\INSTALLATIONS\FIREWALLS\KERIO\PERSONAL FIREWALL 4\KPF4GUI.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\PROGRAM FILES\FRIENDLY TECHNOLOGIES\BROADBANDACCESS\FTS.EXE
C:\WINDOWS\LOADQM.EXE
C:\INSTALLATIONS\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\INSTALLATIONS\ANTIVIRUS\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\INSTALLATIONS\NAVIGATEUR\MOZILLA\MOZILLA.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\INSTALLATIONS\ANTIVIRUS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\INSTALLATIONS\ACROBAT\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\INSTAL~1\ANTIVI~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\INSTAL~1\ANTIVI~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Installations\antivirus\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KPF4] C:\Installations\Firewalls\Kerio\Personal Firewall 4\kpf4ss.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Installations\Navigateur\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
merci nono pour ton aide
j'ai pu me debarrasser de ce virus et de d'autres :)

pic :) !bisous! !bisous! :)
billyZeKick - 3 mars 2005 à 11:05
0
Utile
Avant de faire quoi que se soit, important:

- désactive la restauration systéme:
Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".

- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC(apres l'ecran du bios)

- rend visible les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
désactive la restauration systéme:
Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".



Salut, je suis sous windows 98se et je ne sais pas faire....(j'ai trouvé pour faire sous XP, donc desolé pour la question)

Un peu plus de détail , svp, billy
j'ai trouvé, j'en ai pas besoin.
merci quand meme