Forums
L'informatique
Réseaux & Internet
PC RAME ET TROJAN B...
 
Notifications
Retirer tout

PC RAME ET TROJAN BACKDOOR IMPOSSIBLE A SUPPRIMER

 
    Dernier post
  RSS
 JLM
(@jlm)
Membre réputé

Bjr a tous
voila j'ai un souci avec mon pc mon fils a recu un fichier msn qu'il a ouvert et depuis ca rame pour ouvrir internet et aussi pour le pc je post un rapport hijackkthis si quelqu'un peut m'aider ce serait sympa
voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:37, on 10/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:PROGRA~1GrisoftAVG7avgrssvc.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1GrisoftAVG7avgamsvr.exe
C:PROGRA~1GrisoftAVG7avgupsvc.exe
C:PROGRA~1GrisoftAVG7avgrssvc.exe
C:PROGRA~1GrisoftAVG7avgemc.exe
C:Program Filesewido anti-spyware 4.0guard.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32SearchIndexer.exe
C:PROGRA~1GrisoftAVG7avgfwsrv.exe
C:Program FilesFichiers communsAheadLibNMIndexingService.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1GrisoftAVG7avgcc.exe
C:WINDOWSVM303_STI.EXE
C:WINDOWSsystem32ctfmon.exe
C:PROGRA~1Mozilla Firefoxfirefox.exe
COCUME~1JLMLOCALS~1TempRar$EX00.125HijackThis.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,COCUME~1MalcomLOCALS~1Tempservices.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVG7avgcc.exe /STARTUP
O4 - HKLM..Run: [BigDog303] C:WINDOWSVM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..RunOnce: [FlashPlayerUpdate] C:PROGRA~1Mozilla FirefoxpluginsNPSWF32_FlashUtil.exe -p
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [AVG7_Run] C:PROGRA~1GrisoftAVG7avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134591268186
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:Program FilesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: 61.dll
O20 - Winlogon Notify: avgwlntf - C:WINDOWSSYSTEM32avgwlntf.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:PROGRA~1GrisoftAVG7avgfwsrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:Program Filesewido anti-spyware 4.0guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver1150Intel 32IDriverT.exe
O23 - Service: NBService - Nero AG - C:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 - Service: NMIndexingService - Nero AG - C:Program FilesFichiers communsAheadLibNMIndexingService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:program filespinnacleshared filesprogramsmediaserverpmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe

--
End of file - 6766 bytes

j'ai lu il semble que cette ligne soit bizzare car av g me signale ce chemin coomme un trojan

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,COCUME~1MalcomLOCALS~1Tempservices.exe

Merci

Citation
Initiateur du sujet Posté : 11 mars 2008 11 h 18 min
Malouk
 Malouk
(@malouk)
Membre illustre Admin

Salut,

En effet, cette ligne me semble louche :

COCUME~1MalcomLOCALS~1Tempservices.exe

C'est quoi ton antivirus ? Il ne détecte rien ?

Dans le doute reboot, dans la tomate format !

RépondreCitation
Posté : 11 mars 2008 12 h 24 min
 JLM
(@jlm)
Membre réputé

Bjr Malouk
Mon antivirus est AVG en plus j'ai acheté la version complète il me détecte le trojan back door et le chemin d'accés correspond a cette ligne mais avg ne le supprime pas apparement car il y est encore
Que dois je faire ? supprimer uniquement cette ligne ?
Merci a toi

RépondreCitation
Initiateur du sujet Posté : 11 mars 2008 12 h 53 min
Malouk
 Malouk
(@malouk)
Membre illustre Admin

Il ne donne pas le nom exact du trojan ?

Dans le doute reboot, dans la tomate format !

RépondreCitation
Posté : 11 mars 2008 13 h 24 min
 JLM
(@jlm)
Membre réputé

le nom : BackDoor.genericAAAC

Mais ce n'est peut etre pas le seul mais c'est celui qui correspond a la ligne F 2 du log

Merci a toi

RépondreCitation
Initiateur du sujet Posté : 11 mars 2008 13 h 39 min
Malouk
 Malouk
(@malouk)
Membre illustre Admin

Essaie un scan de services.exe ici : http://virusscan.jotti.org/

Est-ce que ça te donne un autre nom ?

Dans le doute reboot, dans la tomate format !

RépondreCitation
Posté : 11 mars 2008 19 h 01 min
 JLM
(@jlm)
Membre réputé

bjr
je n'arrive pas a me servir de ton lien
comment dois je l'utiliser?
bien a toi
http://virusscan.jotti.org/

RépondreCitation
Initiateur du sujet Posté : 13 mars 2008 10 h 01 min
 Wantrix
(@wantrix)
Membre estimable

Bonjour, une fois le lien ouvert tu clique sur "Parcourir...", tu va chercher le fichier en question et tu fait "Submit".

RépondreCitation
Posté : 13 mars 2008 14 h 01 min
 JLM
(@jlm)
Membre réputé

re bjr

le fichier services.exe : il n'est nul part je ne le trouve pas pas évident et ca rame toujours
help

RépondreCitation
Initiateur du sujet Posté : 13 mars 2008 17 h 19 min
Malouk
 Malouk
(@malouk)
Membre illustre Admin

Tu affiches bien les fichiers et dossiers cachés ?

Dans le doute reboot, dans la tomate format !

RépondreCitation
Posté : 13 mars 2008 19 h 30 min
spawn264
 spawn264
(@spawn264)
Membre réputé

Le plus simple pour toi je crois est simplement de prendre un bon antivirus avec un CD BOOT !
Je te conseil Kaspersky Internet Security ou G-DATA Internet Security !

Après tu ne devras plus te tracasser de tout ça ! Et la vie continue !

RépondreCitation
Posté : 13 mars 2008 20 h 48 min
 JLM
(@jlm)
Membre réputé

bjr a vous 2
je crois que pour moi la solution est de reformater tout simplement
merci de votre aide c'est tres sympa a vous

RépondreCitation
Initiateur du sujet Posté : 17 mars 2008 11 h 43 min
Forum Jump:
  Sujet précédent
Sujet suivant  
Retour en haut