Tom's Guide > Forum > Sécurité - Virus > infecter par win32 trojangen {other}

infecter par win32 trojangen {other}

Forum Sécurité - Virus : infecter par win32 trojangen {other}

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
mogmog   27-07-2005 à 14:06:47

salut je suis un neophyte et j'ai besoin d'aide concernant le virus win32 trojan-gen {other} qui se trouve sur c:\windows\system32\rdriv.sys_voici mon rapport hijackthisLogfile of HijackThis v1.99.1
Scan saved at 13:45:20, on 27/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\mdm.exe
C:\WINDOWS\System32\wkfix.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Manu\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Services] C:\WINDOWS\mdm.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\RunServices: [Internet2 Optimizer] wkfix.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall Start] servic.exe
O4 - HKCU\..\Run: [kqzz] C:\PROGRA~1\COMMON~1\kqzz\kqzzm.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Internet2 Optimizer] wkfix.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] e-c139.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {7CAA184C-91E7-4E84-8681-32F2A0D68DF1} (Apollon Class) - http://htmldialer.parisvoyeur.com/ [...] Daphne.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B10CDC6-CAE0-4DBE-B46B-C5CF43BF1DCE}: NameServer = 80.118.192.112 80.118.196.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B10CDC6-CAE0-4DBE-B46B-C5CF43BF1DCE}: NameServer = 80.118.192.112 80.118.196.42
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbucoms.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Windows Configuration Loader - Unknown owner - C:\WINDOWS\svchost.exe

aidez moi car ca rame grave!!!merci d'avance!
ps:windows xp et avast!

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Makswel   27-07-2005 à 14:40:44
- 0 +

salut.

fais-ceci déjà :

1) dans ta liste, vire tout ce qui contient "media access" et "java"
2) scan ad-aware
3) scan Spybot
4) scan disque complet à l'aide d'un antivirus à jour.
5) nettoyage de disque
6) défragmentation de disque
7) redemare

ensuite dis-moi si le virus est toujours présent
a+

Répondre à Makswel
esteban54   27-07-2005 à 14:57:07
- 0 +

Salut,

petit conseil : fais les scans proposés par Makswel en mode sans échec.
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

Répondre à esteban54
alessio@IDN   27-07-2005 à 15:14:14
- 0 +

si le probleme persisite pase un coup de a2free et trojan remover

Répondre à alessio@IDN
Olghon   27-07-2005 à 17:41:32
- 0 +

ne vire pas ce qui est java. c'est légitime pour faire jabber par exemple et moi je l'utilise pour mes exercices de programmation java. il est légitime. avant de donner un conseil a quelqu'un il faut d'abord connaitre. j'ai m'impression que tu te base sur hijackthis.de qui n'est pas fiable. a l'avenir, evite de faire des erreurs stp.ce message est adressé a Makswel

Répondre à Olghon
Makswel   27-07-2005 à 18:12:09
- 0 +

Salut,

A part si vraiment il est utile comme dans ton cas, je trouve que Java possède de nombreuses failles de sécurité notamment dans les bannières. Souvent les troyens s'en servent.

a+ -)

Répondre à Makswel
Olghon   27-07-2005 à 18:27:52
- 0 +

crois moi, java n'est pas présent dans windows mais doit etre téléchargé pour une raison spécifique:
-pouvoir utiliser un chat ( comme celui de caramail que l'on peut utiliser qu'avec java)
-l'apprentiqqage de java
-pour jabber(dans ce site par ex)

:hello:

Répondre à Olghon
Makswel   27-07-2005 à 18:45:22
- 0 +

le répertoire :C/documents and setting/Aplication data/Sun/java/deployment/cache/javapi/jar [le cache java en gros] est très certainement après le system32 l'endroit le plus sollicité par les troyens. Il peut-être gardé si le cache est vidé régulièrement car malheureusement peu d'anti-virus arrivent à scanner le cache Java. Mais je suis confiant cela viendra -)

Répondre à Makswel
Olghon   27-07-2005 à 18:53:57
- 0 +

je suis tou a fait d'accord avec toi, mais pour le savoir, notre ami doit passer un scan chez Panda

Répondre à Olghon
Makswel   27-07-2005 à 19:01:01
- 0 +

A la limite il suprime le cache c'est pas dangereux.

Répondre à Makswel
Olghon   27-07-2005 à 19:43:24
- 0 +

meme apres toutes les suppression manuels le trojan reviendras fais ca:

paramètrer Internet Explorer pour supprimer les fichiers automatiquement à sa fermeture. Via Internet Explorer -> Outils -> Options Internet -> onglet "avancé" -> Coche la case "Vider le dossier Temporary file quand le navigateur est fermé" (tout en bas)
----

-Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage).

-Assures-toi que tu as accès aux fichiers cachés.
-Explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché
"Masquer les fichiers protégers du système"->décoché

-Supprimes manuellement les fichiers suivants: (si tu les trouvent)

C:\Documents and Settings\"le nom de ta session"\Local Settings\Temporary Internet Files\Content.IE5 <-Vide le contenu du dossier Content.IE5
C:\windows\systeme32\crssrs.exe <-Fichier (attention à l'orthographe)

Vide ta corbeille.
--------

Redémarre ton pc.
Refais un scan en ligne pour contrôler et post son rapport (panda) avec un log hijackthis

Répondre à Olghon
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > infecter par win32 trojangen {other}
Aller à :

Il y a 2924 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,268 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens