Trojan

Trojan - Sécurité - Windows & Software

Marsh Posté le 27-09-2005 à 23:30:46    

Bonjour a tous, voila depuis 1 semaine j'ai remaqué que mon ordinateur étais plus lent qu'avant pour le lancement de prog, bref
J'ai fait une analyse et Avast m'a trouvé un trojan ce nommant Win32:trojan-gen{Delphi}.
 
Le but de se sujet est que vous m'aidiez à virer ce trojan car il me GONFLE  :fou:  :fou:  !!!
 
Merci d'avance.

Reply

Marsh Posté le 27-09-2005 à 23:30:46   

Reply

Marsh Posté le 28-09-2005 à 12:15:27    

:hello: ,
Pour t'aider, il nous faut un peu plus de renseignement.
Suis la procédure :
 
1- Télécharge le logiciel
HiJackThis 1.99.1
 
Ce logiciel nous permet de voir si tu as un programme malveillant, comme un dialer, une barre installée à ton insu (O3), et il indique aussi tout ce qui se lance au démarrage de ton pc (O4), ainsi que les services de Windows (O23).
 
Pour cela, il nous faut le rapport HiJackThis.
 
LIS ATTENTIVEMENT ce qui suit.
 
Voici la proccédure :
 
1- Une fois que tu as téléchargé HiJackThis, il faut le placer dans son propre dossier (C'est obligatoire si tu veux qu'il fasse des sauvegardes dans un dossier nommé "Backup"), par exemple : C:\HiJackThis)  
Si tu ne suis pas cette étape, tu auras des problèmes si on doit vider le contenu des dossiers temporaires.
 
2- Après, tu vas pouvoir faire un scan et sauvegarder le rapport dans un fichier. Pour cela, clique sur le bouton "Do a system scan and save a logfile"
 
3- Ensuite, le Bloc-notes s'ouvre avec le rapport. Clique sur "Edition" Puis sur "Sélectionner tout"
 
4- Refait la même procédure sauf que, à la place de "Sélectionner tout", tu cliqueras sur "copier"
 
5- Ensuite tu retournes sur le forum et, dans une réponse, tu pourras coller le rapport en faisant un clic droit et en choisissant "Coller"  
 
2- Lance un scan antivirus ICI en utilisant le navigateur Internet Explorer.
 
Clique sur "Scan my PC" et suis les instructions. Après, une fenêtre va s'ouvre te demandant si tu veux installer "Panda ActiveScan". Accepte en cliquant sur "oui". À la fin du scan, enregistre le rapport et copie/colle-le ici.

Reply

Marsh Posté le 29-09-2005 à 23:41:22    

ok merci jle fait et je reviens

Reply

Marsh Posté le 30-09-2005 à 00:20:07    

Voila le résultat de HiJackThis
 
Logfile of HijackThis v1.99.1
Scan saved at 23:42:16, on 29/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bwleplvyjbfirfhjofalcvw [...] qwEGo.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\progra~1\softwin\bitdef~1\bdswitch.exe
O4 - HKCU\..\Run: [Loud book] C:\DOCUME~1\ADMINI~1\APPLIC~1\LongMoreData\SecondReadme.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\fastload.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Unknown owner - C:\Program Files\Symantec AntiVirus\DefWatch.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Unknown owner - C:\Program Files\Symantec AntiVirus\SavRoam.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Unknown owner - C:\Program Files\Symantec AntiVirus\Rtvscan.exe (file missing)
 
et voila le resultat de PANDA:
             Detected Disinfected  
Virus              0       0  
Spyware         1       0  
Hacking Tools  0       0  
Dialers            0       0  
Security Risks  0       0  
Suspicious files 0       0
   
Incident                      Status                        Location                      
 
Adware:adware/block-checker   No disinfected                C:\WINDOWS\system32\ustart.exe    
 
Voila mais j'ai limpression que e spyware detecté n'est pas le trojan.
 
 

Reply

Marsh Posté le 02-10-2005 à 15:50:27    

Ok, tu as LOP. C'est un trojan qui change ta page de démarrage et qui prend pas mal de ressource système. Il espionne aussi les sites visités. Il arrive grâce à l'installation de MSN+, le plug-in de MSN.
 
Voici la procédure pour l'éradiquer :
 
1- Exécute le "LOP Uninstaller" de cette page (désactive ton (ou plutôt tes) antivirus pendant le téléchargement et l'exécution du fichier)
 
2- Dans HiJackThis, coche ces lignes, puis fixe-les avec le bouton « fix checked » :

Citation :

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) (un reste de Flash Get)
O4 - HKCU\..\Run: [Loud book] C:\DOCUME~1\ADMINI~1\APPLIC~1\LongMoreData\SecondReadme.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ (un reste de Norton)


 
3- Au prochain démarrage, supprime le dossier en gras. Supprime Lopremover.exe. Supprime aussi le fichier C:\WINDOWS\system32\ustart.exe, si besoin redémarre en mode sans échec. (tape f8, au démarrage du PC, avant le logo de XP)
 
4- Un seul antivirus suffit sur un PC. En avoir plusieurs peut poser de graves problèmes. Garde un seul des trois antivirus.
 
Tu n'avais pas des favoris pollués par de la pub pour casino, games, etc. ? Pas de problème de page de démarrage de Internet Explorer ? Lorsque Avast! t'indique le nom du virus, est-ce que il met son emplacement ? Si oui, note-le et donne-le-moi ici.
 
Reposte ensuite un rapport HiJackThis.  :jap:


Message édité par y@nnik le 02-10-2005 à 15:52:09
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed