PC RAME ET TROJAN BACKDOOR IMPOSSIBLE A SUPPRIMER

[JLM]

Bjr a tous
voila j'ai un souci avec mon pc mon fils a recu un fichier msn qu'il a ouvert et depuis ca rame pour ouvrir internet et aussi pour le pc je post un rapport hijackkthis si quelqu'un peut m'aider ce serait sympa
voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:37, on 10/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1GrisoftAVG7avgrssvc.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1GrisoftAVG7avgamsvr.exe
C:PROGRA~1GrisoftAVG7avgupsvc.exe
C:PROGRA~1GrisoftAVG7avgrssvc.exe
C:PROGRA~1GrisoftAVG7avgemc.exe
C:Program Filesewido anti-spyware 4.0guard.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32SearchIndexer.exe
C:PROGRA~1GrisoftAVG7avgfwsrv.exe
C:Program FilesFichiers communsAheadLibNMIndexingService.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1GrisoftAVG7avgcc.exe
C:WINDOWSVM303_STI.EXE
C:WINDOWSsystem32ctfmon.exe
C:PROGRA~1Mozilla Firefoxfirefox.exe
COCUME~1JLMLOCALS~1TempRar$EX00.125HijackThis.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,COCUME~1MalcomLOCALS~1Tempservices.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVG7avgcc.exe /STARTUP
O4 - HKLM..Run: [BigDog303] C:WINDOWSVM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..RunOnce: [FlashPlayerUpdate] C:PROGRA~1Mozilla FirefoxpluginsNPSWF32_FlashUtil.exe -p
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [AVG7_Run] C:PROGRA~1GrisoftAVG7avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4591268186
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:Program FilesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: 61.dll
O20 - Winlogon Notify: avgwlntf - C:WINDOWSSYSTEM32avgwlntf.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgfwsrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:Program Filesewido anti-spyware 4.0guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver1150Intel 32IDriverT.exe
O23 - Service: NBService - Nero AG - C:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 - Service: NMIndexingService - Nero AG - C:Program FilesFichiers communsAheadLibNMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:program filespinnacleshared filesprogramsmediaserverpmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe

--
End of file - 6766 bytes



j'ai lu il semble que cette ligne soit bizzare car av g me signale ce chemin coomme un trojan

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,COCUME~1MalcomLOCALS~1Tempservices.exe

Merci

[Malouk]

Salut,

En effet, cette ligne me semble louche :

COCUME~1MalcomLOCALS~1Tempservices.exe

C'est quoi ton antivirus ? Il ne détecte rien ?

[JLM]

Bjr Malouk
Mon antivirus est AVG en plus j'ai acheté la version complète il me détecte le trojan back door et le chemin d'accés correspond a cette ligne mais avg ne le supprime pas apparement car il y est encore
Que dois je faire ? supprimer uniquement cette ligne ?
Merci a toi

[Malouk]

Il ne donne pas le nom exact du trojan ?

[JLM]

le nom : BackDoor.genericAAAC

Mais ce n'est peut etre pas le seul mais c'est celui qui correspond a la ligne F 2 du log

Merci a toi

[Malouk]

Essaie un scan de services.exe ici : http://virusscan.jotti.org/

Est-ce que ça te donne un autre nom ?

[JLM]

bjr
je n'arrive pas a me servir de ton lien
comment dois je l'utiliser?
bien a toi
http://virusscan.jotti.org/

[Wantrix]

Bonjour, une fois le lien ouvert tu clique sur "Parcourir...", tu va chercher le fichier en question et tu fait "Submit".

[JLM]

re bjr

le fichier services.exe : il n'est nul part je ne le trouve pas pas évident et ca rame toujours
help

[Malouk]

Tu affiches bien les fichiers et dossiers cachés ?

[spawn264]

Le plus simple pour toi je crois est simplement de prendre un bon antivirus avec un CD BOOT !
Je te conseil Kaspersky Internet Security ou G-DATA Internet Security !

Après tu ne devras plus te tracasser de tout ça ! Et la vie continue !

[JLM]

bjr a vous 2
je crois que pour moi la solution est de reformater tout simplement
merci de votre aide c'est tres sympa a vous