trojan collected.5.L -> comment s'en débarasser ?

trojan collected.5.L -> comment s'en débarasser ? - Sécurité - Windows & Software

Marsh Posté le 30-05-2005 à 18:04:41    

J'ai l'adsl depuis 1 jour et je suis déja infecté par un trojan : collected.5.L. C'est que m'indique AVG 7.0 apres un scanning.
 
J'aimerai bien l'enlever seulement, le trojan m'empeche de lancer hijackthis, m'empeche le ctrl+alt+suppr, me coupe le pare feu et bloque les installations d'anti virus lorsque l'installation crée les raccourcis (c'est à dire juste à la fin de l'intallation). mais apres un reboot, ca semble fonctionner puisque j'ai pu installer avg-Kaspersky.
 
Comment puis-je m'y prendre pour supprimer ce virus ?


Message édité par Pulsar- le 30-05-2005 à 18:06:40
Reply

Marsh Posté le 30-05-2005 à 18:04:41   

Reply

Marsh Posté le 30-05-2005 à 18:18:41    

mode sans echec si tu connais le nom de l'exe à supprimer

Reply

Marsh Posté le 30-05-2005 à 18:21:35    

Bonsoir si tu ne peux pas lancer Hijackthis exécute Smartkiller:
http://www.safer-networking.org/files/delcwssk.zip

Reply

Marsh Posté le 30-05-2005 à 18:36:23    

voilà le resultat de Hijackthis lancé en mode sans echec :
 
 
 
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 18:30:40, on 30/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\virus\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [SmartGuardian] C:\Program Files\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] wincmd.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] wincmd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ITE Smart Guardian.lnk = C:\Program Files\ITE\Smart Guardian\ITESmart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3400653587
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14BCD4E0-6143-4B8F-9758-9CF2B0EC25F5}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FC04993-1BD4-427A-BA19-E19C47AA4F54}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{14BCD4E0-6143-4B8F-9758-9CF2B0EC25F5}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
 

Reply

Marsh Posté le 06-06-2005 à 11:06:59    

Ca fait 5 jours que j'ai ce virus et j'avoue que ca commence a devenir insuprotable.  
Pourriez-vous m'aider à éradiquer ce virus qu'aucun antivirus ne peut detruire ?

Reply

Marsh Posté le 06-06-2005 à 12:48:29    

Bonjour, de passage...Clique sur Démarrer puis Exécuter,  tape services.msc et clique sur OK.
 
Dans la liste des services, cherche et sélectionne
 
Smart Card Client (SCardClnt)
 
Double clique sur la ligne  
Vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\System32\SCardClnt.exe dans Type de démarrage,  
Sélectionne Désactiver et valide la modification.  
 
Démarre Hijackthis scan et coche:
 
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)  
 
Ferme toutes les fenêtres tous les programmes puis Fix checked.
 
Termine la désinstallation d'AVG et poste un nouveau rapport pour vérification.
 

Reply

Marsh Posté le 06-06-2005 à 14:36:13    

Merci de m'aider.
J'ai effectuer les manipulations seulement la ligne  
 
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)  
 
n'apparait pas sous Hijathis scan.  
 
Il y a bien plusieurs O23 mais pas de Smart Card clien.

Reply

Marsh Posté le 06-06-2005 à 14:44:55    

Qu'en est-il de ton virus?

Reply

Marsh Posté le 06-06-2005 à 17:49:12    

toujours là évidemment.

Reply

Marsh Posté le 06-06-2005 à 18:48:06    

Bonsoir, fais un scan sur:
 
http://www.pandasoftware.com/produ [...] ncipal.htm
 
Colle le rapport ici

Reply

Marsh Posté le 06-06-2005 à 18:48:06   

Reply

Marsh Posté le 06-06-2005 à 19:21:32    

resultat :
 
virus:W32\Gaobot.FFSbot.worm
 
c:\Windows\system32\wincmd.exe
 
désinfecté.
 
http://www.pandasoftware.com/virus [...] ion=166466
 
 
apparemment, mon virus est parti. Merci Stonangel !
 
Peut etre un dernier petit conseil pour eviter de rechoper ce genre de virus ?
 
Quel anti virus et pare feu a utiliser?

Reply

Marsh Posté le 06-06-2005 à 19:34:03    

:jap:  De rien. Kaspersky est excellent. Comme firewall, gratuits:
Zone Alarm, Kerio, Sygate. Payants: Look'n stop, Outpost...
Pense à finir de désinstaller AVG, je le vois toujours dans ton rapport.

Reply

Marsh Posté le 06-06-2005 à 20:41:39    

oui ,effectivement. Je viens de le faire.
 
Merci encore pour tout ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed