[trojan] fichiers infectés par plusieurs trojRésolu/Fermé

Question

Bonjour,
Pourriez-vous m'indiquer quoi faire pour me débarrasser de trojan qui ralentissent considérablement mon ordi et ne sont pas détruits par l'AVG antivirus.
Je vous joint à cet effet un rapport hijackthis.
D'autre part, je n'arrive pas à télécharger kério ???

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:48:17, on 13/04/2007
Platform: Windows XP  (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\firewall.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\pdeneqy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\eMule.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
C:\WINDOWS\System32\fvnf.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a1b1fc\update\update.exe
C:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\System32\fccyxuu.dll
O2 - BHO: (no name) - {398EFFF5-5C75-434A-B87A-47609DBAF5C4} - C:\WINDOWS\System32\ljheb.dll
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\System32\hjasrkdj.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {91B3A88C-E550-438B-9DF8-61756496DFDd} - C:\WINDOWS\System32\dojyealq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ad-watch] C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [Ad-aware] C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\System32\vqamqebg.dll",setvm
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\eMule.exe -AutoStart
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Choisir comme avatar pour Messenger - C:\Program Files\MSN Pictures Displayer\AddIEPicture.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by118fd.bay118.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: fccyxuu - C:\WINDOWS\SYSTEM32\fccyxuu.dll
O20 - Winlogon Notify: ljheb - C:\WINDOWS\System32\ljheb.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32	lntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

alib · Answer

salut, il m'est arrivé la même chose la semaine dernière, je ne suis pas un super expert mais je me suis débrouillé seul en cherchant un peu (enfin beaucoup!) tu me retrouveras sur ce forum sur un autre topic ainsi que sur pc astuces: https://forum.pcastuces.com/sujet.asp?f=25&s=29951 
ou ici sur
pc infecte par trojan fatobfus gen

le problème est classic, il faut commencer par faire un scan en ligne chez bitdefender, 
car les derniers trojans survenus depuis le début du mois sont passés à travers de beaucoup d'AV,
qui te supprimera les fichiers infectés mais ne désinfectera pas le système 
il faudra alors télécharger  GenProcBéta que tu peux trouver sur google ensuite...
clique droit extraire ici,ouvre le dossier double clique sur GenProc.bat et suis bien les instructions methodiquement étape par étape
une fois terminé un bon nettoyage avec ccleaner et un dernier scan avec avg.
pour moi ca a bien marché mais il faut être très patient
bon courage, Alain

alib · Answer

ah oé, un détail moi après avoir completement désinfecté mon système j'ai désactivé la restauration du système pour annuler mes précédentes restaurations car sinon les virus dorment et peuvent toujours se réveiller chose qui a du d'ailleurs se passer puisque j'ai été infecté 2 fois en moins d'1 mois!

blandine · Answer

Merci pour les conseils mais je n'arrive déjà pas à télécharger ton premier fichier. L'adresse est inexistante ?

Pourriez-vous m'aider différemment svp. Merci.
J'attends vos solutions.

blandine · Answer

HELP !!! Pourrais-je être conseillée. Merci.
Pour info : AVG anti-spyware + spybot + ad-aware + ccleaner installés
kério finalement installé aussi
AVAST anti-virus installé
hijackthis téléchargé

Tout est prêt, il ne me reste que vos conseils et vos procédures à suivre. Merci de ce que vous pourrez faire pour moi.
A plus.

alib · Answer

je reviens à ton secours, as-tu une adresse msn ca sera plus simple, je pourrais t'envoyer le fhier zippé de genprocbeta

Blandine · Answer

En résumé : je suis la procédure qui m'a été proposé par un intervenant ci-dessus. Si ça ne fonctionne pas, j'ouvrirai un nouveau post précisant l'infection réelle. Merci.

alib · Answer

salut blandine, ok, je croise les doigts pour que ca marche, je m'absente et reviendrais vers 17h...
s'il y a un astucien d'un niveau plus expert que moi sur ce forum ce serait bien qu'il intervienne pour Blandine si ma méthode ne fonctionne pas, merci pour elle!

alib · Answer

bon! bein blandine pour ta cop, je réitère, il faut:

EN 7 POINTS:

1. faire un scan en ligne sur: https://www.bitdefender.fr/ cliquer sur scan in line sur la gauche pour d'abrod déterminer quel genre de trojan il s'agit

2. télécharger (je vous ai joint le fichier) GenProcBeta.zip

3. lancer le fichier .bat

4. le copier et l'imprimer (c mieux!) sur le bureau

5. suivre scrupuleusement à la lettre ce que le fichier texte dit avec 
les liens des programmes à télécharger et les appliquer en mode sans échec comme il est dit

6. aller dans: démarrer/restauration du système/cliquer sur "paramètres de la restauration" à gauche et cocher la case "désactiver la restauration du système"

7. finir avec un ccleaner et un avg et admirez le rapport, vous êtes enfin javélisé, 
enfin! j'espère, normalement!

en espérant que ce topic puisse aider tous ceux qui galèrent avec ce put1 de virus printanier de m..., 

cordialement, ALIB, un autoastucien!

[trojan] fichiers infectés par plusieurs troj

8 réponses

Discussions similaires

Newsletters