trojan
Hors ligneMimile39 Le 24/02/2006 à 06:07 Profil de Mimile39 Configuration de Mimile39

bonjour

j'ai passez hier l'antivirus kaspersky en ligne et il m'a detecter plusieurs trojan dans c:system volume information  ainsi que dans
f:system volume information.
j'ai lu par le passez dans des forums qu'il fallait verifier avec
hijack this, ce que je viens de faire.
voici le rapport
Logfile of HijackThis v1.99.1
Scan saved at 05:38:33, on 24/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Softwin\BITDEF~2\bdswitch.exe
D:\Program Files\The Cleaner\tca.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\Softwin\BITDEF~2\bdnagent.exe
K:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
L:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\a-squared\a2guard.exe
C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~2\bdmcon.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Program Files\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Peer2Mail Toolbar Helper - {4FB971C4-99FB-480d-BA3F-55B8263010FB} - C:\Program Files\Peer2Mail

Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Peer2Mail Toolbar - {43F2A7F9-06F6-48a5-B0DC-8530BF29CE66} - C:\Program Files\Peer2Mail

Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~2\bdswitch.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [tcactive] D:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~2\bdnagent.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "K:\Program Files\D-Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "L:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
O4 - HKCU\..\Run: [UIWatcher] C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers

communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://L:\Program Files\Adobe\Acrobat

7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://L:\Program

Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\flashget\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\flashget\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) -

http://eu-housecall.trendmicro-europe.com/housecall/
applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

http://a840.g.akamai.net/7/840/537/2005111401/
housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -

http://charon777.free.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems

Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan

Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers

communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers

communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service

(file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender

Communicator\xcommsvr.exe" /service (file missing)

voici le rapport  kaspersky
C:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\RP27\A0000994.exe/
stream/data0004  Infecté: Trojan-Downloader.Win32.IstBar.nn  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP27\A0000994.exe/stream  Infecté: Trojan-Downloader.Win32.IstBar.nn  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP27\A0000994.exe  NSIS: infecté - 2  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP27\A0000994.exe  UPX: infecté - 2  ignoré  

C:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP27\A0000995.exe/stream/data0004  Infecté: Trojan-Downloader.Win32.IstBar.nn  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP27\A0000995.exe/stream  Infecté: Trojan-Downloader.Win32.IstBar.nn  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP27\A0000995.exe  NSIS: infecté - 2  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP27\A0000995.exe  UPX: infecté - 2  ignoré  

C:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP37\A0002889.exe/VideoJoiner.exe  Infecté: Packed.Win32.CryptExe  ignoré  

C:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP37\A0002889.exe  ZIP: infecté - 1  ignoré  

C:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0003982.exe  Infecté: Trojan.Win32.StartPage.agb  ignoré  

C:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0003983.exe  Infecté: Backdoor.Win32.Agent.qs  ignoré  

C:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0003997.exe  Infecté: Backdoor.Win32.Agent.qs  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0004041.exe  Infecté: Trojan-Downloader.Win32.Small.bnt  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0004053.exe  Infecté: Trojan-Downloader.Win32.Small.byf  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0004134.exe  Infecté: Trojan-Downloader.Win32.Agent.abf  ignoré  

C:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP49\A0006032.dll  Infecté: Backdoor.Win32.Agent.qs  ignoré  

F:\System Volume Information\_restore{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0004133.exe  Infecté: Trojan-Downloader.Win32.Small.bws  ignoré  

F:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0004135.exe/run.exe  Infecté: Trojan-Downloader.Win32.Small.bws  ignoré  

F:\System Volume Information\_restore
{2D83BB1B-8256-4185-9F12-DCBA41D3FF28}\
RP41\A0004135.exe  ZIP: infecté - 1  ignoré  

Analyse terminée.

j'espere que l'un d'entre vous pourras m'aidez
au revoir
Hors ligneMarculinos Le 24/02/2006 à 09:15 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Hello,

Avant de passer à la dissection du rapport Hijackthis, as-tu essayé Ad Aware?

@+
Hors ligneMimile39 Le 24/02/2006 à 14:38 Profil de Mimile39 Configuration de Mimile39

bonjour

oui j'ai oublie de preciser qu' adaware est bloquer quand il inspecte les fichiers volume information

merci d'avoir repondu
Hors ligneMarculinos Le 24/02/2006 à 15:24 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Ok.

Alors, essaie cet Antivirus en ligne.

@+
Hors ligneVhady Le 16/03/2006 à 19:40 Profil de Vhady Configuration de Vhady

Bonsoir,

C'est norton qui vas te régler ce problème à 99%

et moi je vais t'aider 1%

Donc c'est à 100%


Utilise le et enregistre les réslutats de norton et l'envoi sur le forum pour t'aider

A bientôt.
Hors ligneUser_01 Le 16/03/2006 à 19:52 Profil de User_01 Configuration de User_01

bonjour,

Si tu es infecté par des trojans, il faut revoir la configuration de ton firewall, ( Regarde bien les programmes qui demandent à avoir accès a internet ) parce que les trojans sont programmés principalement pour ouvrir des ports dans ton ordinateur, et la personne peut prendre contrôle de ton ordinateur. Si tu utilise le firewall XP sa sera plus dur parce que le firewall XP bloquent les attaques exterieurs et ne filtrent pas tout les programmes qui demande à avoir accès à internet.

*- Surtout évite au maximun de te connecter à internet si tu as pas un firewall. ( si tu as un firewall, regarde bien les programmes qui demande à se connecter à internet, et si tu as celui de XP sa seras plus dur -*

1. Telecharge un firewall, si tu n'a rien prends Kerio.
2. Telecharge 1 antivirus gratuit comme : Avast ( en francais ) et AVG ( en anglais). Si tu as 1 antivirus déjà sur ton ordinateur mets le à jour et fait un scanne.
3.Mets l'antivirus à jour, et fait 1 scanne

J'espere que les trojans n'ont pas fait trop de dégats parce que sinon je pense pas que tu pourras installer un antivirus ou firewall.

Bonne chance.

Cordialement,

User_01
Hors ligneMimile39 Le 20/03/2006 à 17:10 Profil de Mimile39 Configuration de Mimile39

merci d'avoir repondu

j'ai essayer de passez norton antivirus en ligne mais comme mon dd est partitionner il ne m'a controler que le disque C  alors que d'apres panda en ligne mon probleme s'est deplacer sur la partition D.
mon informaticien m'as conseiller de prendre  kaspersky mais celui ci ne detecte pas de probleme , peut etre suis devenu parano a force de tester tout les antivirus en ligne que l'on ma conseiller.

j'ai kaspersky internet security , mais je n'ose pas installer un pare feu trop contrainiant car c'est trop la galere pour surfer  et je ne sais pas quel port je peu laissez ouvert  pour surfer sans trop de message qui me demande si j'autorise tel ou tel fichier a s'ouvrir
Hors ligneAnthony Le 20/03/2006 à 18:24 Profil de Anthony Configuration de Anthony

Admin
Salut,

tu n'ouvres que le port 80 et 443 pour les sites sécurisés et ça ira. Pour le mail il faut ouvrir les ports 25 et 110.

a +
--
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels