Sujet Précédent Sujet Suivant

Trojan o.exe + soft qui s'installent tt seul

Résolu/Fermé
Cubix - 8 août 2005 à 17:17
 SEC - 2 mars 2007 à 17:55
Bonjour à tous, j'ai quelques soucis depuis quelques jours. Mon Kaspersky m'a signalé la présence du Trojan o.exe, je l'ai naturellement supprimé, et des programmes se sont installés depuis sa disparition, comme Media Gateway, 180 Search Assistants et ossi Select Cashback ...

J'ai ossi trouvé un fichier Temp dans C://Temp/ ou se trouvaient deux programmes de spywares ... dès que je les supprime ils reviennent, autant pour les programmes que j'ai cité plus haut.

J'ai fait une copie de mon log Hijackthis :


Logfile of HijackThis v1.99.1
Scan saved at 17:08:07, on 08/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\winman32.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\etb\pokapoka62.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Sécurité\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\RunServices: [Microsoft Update 64 BIT] winman32.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Si vous pouvez m'aider svp, ce serai t très sympa de votre part :-D

Merci bcp
A voir également:

7 réponses

Réponse 1 / 7
Real Mona Messages postés 1432 Date d'inscription jeudi 1 juillet 2004 Statut Membre Dernière intervention 9 août 2016 94
8 août 2005 à 17:27
Bonjour

¤Télécharge ces logiciels :

1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html

Démo d’utilisation (merci à Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

relance hijacthis
coche et fixe ces lignes

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
O4 - HKLM\..\Run: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

¤Recherche et supprime ceci:
attention seulement les fichiers (si présents)
winman32.exe
mediagateway.exe

Lance spybot adaware et vire tout ce qu'ils trouvent et passe clean up.

Et refais un hijackthis et reposte le ici.

Bon courage,
M.

PS : tu as un parefeu ?
0
Réponse 2 / 7
Real Mona Messages postés 1432 Date d'inscription jeudi 1 juillet 2004 Statut Membre Dernière intervention 9 août 2016 94
8 août 2005 à 17:42
J'ai oublié dans ce que tu as a fixer dans hijacthis :

O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\RunServices: [Microsoft Update 64 BIT] winman32.exe

et tu supprimes également tout ce qui porte comme nom *mediagateway*.* dans ton disque
0
Réponse 3 / 7
Cubix
8 août 2005 à 18:14
Merci pout ton aide, j'ai un soucis, quand je fixe la case pokapoka62.exe elle revient malgré que je le delete avec hijcakthis, et je ne trouve pas son dossier ds C://Windows/etb/pokapoka32.exe :-s je ne comprends où est ce qu il est logé ...

Merci pour ton aide, je post nouveau Log

Logfile of HijackThis v1.99.1
Scan saved at 18:06:24, on 08/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Sécurité\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Sécurité\Sypbot 1.4\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



Merci bcp :D

ps : je n'ai pas de Firewall , je dispose de Se Adaware/ Spybot /spy sweeper / Kaspersky
0
Real Mona Messages postés 1432 Date d'inscription jeudi 1 juillet 2004 Statut Membre Dernière intervention 9 août 2016 94
8 août 2005 à 18:20
Essaie de relancer hijackthis et de supprimer pokapoka en MODE SANS ECHEC (tu sais faire je suppose ?) et reposte ton log

télécharge ce firewell efficace et gratuit : http://download.zonelabs.com/bin/free/fr/download/comparison.html

A toute
M.
0
Réponse 4 / 7
Cubix
8 août 2005 à 19:16
Merci bcp, pour ton aide, j'ai reussit en mode sans échec de l'enlever, il me reste plus que les Favoris rajoutés par les spyware.

S'il y a encore un problème je le signale

Logfile of HijackThis v1.99.1
Scan saved at 19:12:35, on 08/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\Sécurité\HijackThis.exe
C:\WINDOWS\system32\cmd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Sécurité\Sypbot 1.4\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



Merci bcp ^^
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Cubix
8 août 2005 à 19:20
j'ai un prob encore, j'ai vérifié ds Ajou/Suppression de programmes, et je vois qu Media Gateway est tjs là ... je deviens fou :-D

Merci pour ton aide :-D
0
Real Mona Messages postés 1432 Date d'inscription jeudi 1 juillet 2004 Statut Membre Dernière intervention 9 août 2016 94
8 août 2005 à 19:24
Hum.... puisque tu es allé dans ajout/suppression de programmes, restes y et supprime ce programme.

Simple non ?
et de rien !
0
Réponse 6 / 7
Cubix
8 août 2005 à 19:45
re bonjour en faite toutes les pubs reviennent si je supprime avec ajout suppression :/
0
Real Mona Messages postés 1432 Date d'inscription jeudi 1 juillet 2004 Statut Membre Dernière intervention 9 août 2016 94
8 août 2005 à 19:56
Déjà quand tu l'as supprimé ds ajout suppression, il a disparu de la fenetre ?
si non, essaie en mode sans echec
puis redémarre, passe cleanup, adaware et spybot (tu as bien téléchargé les dernières versions j'espère ??)

refais un hijackthis et reposte le pour voir...
(c'est tenace ces bestioles !)
A+
0
Réponse 7 / 7
SEC
2 mars 2007 à 17:55
Je viens de découvrir que j'ai le meme probleme! o.exe,et bitdefender ne le detecte pas, il detecte juste les 2 spywares qui reviennent tout seul et aussi mon pc rame!
0

Discussions similaires

Trouver le mot réellement écrit en lettres capitales PIX
ETHAN -
kirikou -

4 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment connecter le deuxième écouteur sans fil JBL Free ?
Pierre208 -
Ali -

55 réponses
mon Xiaomi redmi note 8 pro monte et baisse le son tout seul !
mtex1131 -
Merci -

103 réponses
Une des deux oreillettes bluetooth ne marche pas
MrPanagoo -
Isa -

42 réponses