Trojan Desktophijack.B
Forum Sécurité - Virus : Trojan Desktophijack.B
Bonsoir,j'ai le même problème à cause de ce fichue Trojan Desktophijack.B.cela fait 2 jours que j'essai de le supprimé rien à faire.J'aimerais que l'on m'indique la marche à suivre pour pouvoir enfin le supprimé.Merci beaucoup.Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 19:56:22, on 26/09/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\drivers\trcboot.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\sgpapngx.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Intel\LDCM\bin\IIDS.exe
C:\LDCLIENT\LOCALSCH.EXE
C:\WINNT\system32\cba\pds.exe
C:\LDClient\tmcsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\pcssfrrx.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Intel\DMI\BIN\WIN32SL.EXE
C:\Program Files\Personal Communications\PCS_AGNT.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\LDClient\wuser32.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\Program Files\Intel\LDCM\bin\ssm.exe
C:\Program Files\Intel\LDCM\Bin\USM.exe
C:\Program Files\Winlpd\winlpd.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\WINNT\loadqm.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Intel\LDCM\ci\cimgr\CiMgrLdr.exe
C:\PROGRA~1\Intel\LDCM\CI\CIMGR\CIMGR.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\SWISSL~1\LOCALS~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-find4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-find4u.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://swissline/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://best-find4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://best-find4u.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,pcssfrrx.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [User Space Manager] C:\Program Files\Intel\LDCM\Bin\USM.exe
O4 - HKLM\..\Run: [winlpdtray] C:\Program Files\Winlpd\winlpd.exe -hide
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ditaaaaa] C:\WINNT\system32\ditaaaaa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [pqqjsie] c:\winnt\eqwkgcb.exe
O4 - HKCU\..\Run: [ditaaaaa] C:\WINNT\system32\ditaaaaa.exe
O4 - HKCU\..\Run: [tcfhdeh] c:\winnt\eqwkgcb.exe
O4 - HKCU\..\Run: [wjwdxav] c:\winnt\eqwkgcb.exe
O4 - HKCU\..\Run: [gtxsgqk] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [eiolpae] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [niaathw] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [vvtvgdo] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [bnkqvla] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [btwyoov] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [phyqxjo] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [nymstsr] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [sxstslq] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [wqkgkld] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [wrgeauw] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [mwpgaci] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [igepykr] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [fpnrwtv] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [fqjtlor] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [nhuabjf] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [andckfj] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [mvauhen] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [phjwppy] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [tukrsgx] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [igpakrh] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [behidrt] c:\winnt\ariiyus.exe
O4 - HKCU\..\Run: [abogotw] c:\winnt\ariiyus.exe
O4 - HKCU\..\Run: [uqncdws] c:\winnt\wvgnbna.exe
O4 - HKCU\..\Run: [rwqyxwf] c:\winnt\cwqnqxp.exe
O4 - HKCU\..\Run: [svnhwdu] c:\winnt\dhavctc.exe
O4 - Global Startup: Exécution de la tâche.LNK = C:\LDClient\AMCLIENT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Prise d'inventaire.LNK = C:\LDClient\LDISCN32.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E8D7C61-7CFD-4E69-A670-C9DFFAE1083A}: Domain = Agences.groupesuisse.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E8D7C61-7CFD-4E69-A670-C9DFFAE1083A}: NameServer = 172.16.80.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEC421C3-8BDB-4D35-BCD6-88D8BDE2FFAD}: Domain = agences.groupesuisse.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEC421C3-8BDB-4D35-BCD6-88D8BDE2FFAD}: NameServer = 172.16.80.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1FCF02F-A04C-491B-91E3-6EE289AEDAFE}: Domain = Agences.groupesuisse.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1FCF02F-A04C-491B-91E3-6EE289AEDAFE}: NameServer = 172.16.80.100
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINNT\system32\vbsys2.dll
O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINNT\system32\cjdhmclj.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Intel CI Manager - Intel Corporation - C:\Program Files\Intel\LDCM\ci\cimgr\CiMgrLdr.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel IIDS - Intel Corporation - C:\Program Files\Intel\LDCM\bin\IIDS.exe
O23 - Service: Intel Local Scheduler Service - Intel Corporation - C:\LDCLIENT\LOCALSCH.EXE
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Intel SSM - Intel Corporation - C:\Program Files\Intel\LDCM\bin\ssm.exe
O23 - Service: Intel Targeted Multicast - Intel Corporation - C:\LDClient\tmcsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TMA Distribution - Unknown owner - C:\WINNT\system32\cba\lcfinst.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINNT\System32\drivers\trcboot.exe
O23 - Service: win32sl - Smart Technology Enablers - C:\Program Files\Intel\DMI\BIN\WIN32SL.EXE
O23 - Service: Intel Remote Control Service (Wuser32) - Intel Corporation - C:\LDClient\wuser32.exe
Bonjour,
De nombreuses saletés, faudra s'y reprendre en plusieurs fois...
1/ Télécharge et installe CCleaner
2/ Télécharge SmitfraudFix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici
3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
4/ Ferme tous les programmes y compris Internet Explorer.
Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-find4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-find4u.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://swissline/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://best-find4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://best-find4u.com/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,pcssfrrx.exe
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file)
O4 - HKLM\..\Run: [ditaaaaa] C:\WINNT\system32\ditaaaaa.exe
O4 - HKCU\..\Run: [pqqjsie] c:\winnt\eqwkgcb.exe
O4 - HKCU\..\Run: [ditaaaaa] C:\WINNT\system32\ditaaaaa.exe
O4 - HKCU\..\Run: [tcfhdeh] c:\winnt\eqwkgcb.exe
O4 - HKCU\..\Run: [wjwdxav] c:\winnt\eqwkgcb.exe
O4 - HKCU\..\Run: [gtxsgqk] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [eiolpae] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [niaathw] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [vvtvgdo] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [bnkqvla] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [btwyoov] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [phyqxjo] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [nymstsr] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [sxstslq] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [wqkgkld] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [wrgeauw] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [mwpgaci] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [igepykr] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [fpnrwtv] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [fqjtlor] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [nhuabjf] c:\winnt\jjxaval.exe
O4 - HKCU\..\Run: [andckfj] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [mvauhen] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [phjwppy] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [tukrsgx] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [igpakrh] c:\winnt\ehngdva.exe
O4 - HKCU\..\Run: [behidrt] c:\winnt\ariiyus.exe
O4 - HKCU\..\Run: [abogotw] c:\winnt\ariiyus.exe
O4 - HKCU\..\Run: [uqncdws] c:\winnt\wvgnbna.exe
O4 - HKCU\..\Run: [rwqyxwf] c:\winnt\cwqnqxp.exe
O4 - HKCU\..\Run: [svnhwdu] c:\winnt\dhavctc.exe
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINNT\system32\vbsys2.dll
O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINNT\system32\cjdhmclj.dll (file missing)
5/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)
6/ ensuite supprime les fichiers et/ou dossiers suivants :
pour les fichiers dont le chemin n'est pas précisé, fais une recherche sur le PC --> ils sont sans doute localisés dans C:\WINDOWS\System32 et/ou C:\WINDOWS
Supprime les fichiers des lignes 04 indiquées ci-dessus si présents (par exemple C:\WINNT\system32\ditaaaaa.exe)
et aussi :
pcssfrrx.exe
C:\WINNT\system32\vbsys2.dll
7/ Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.
8/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage
9/ Redémarre normalement, colle le 2ème rapport de SmitfraudFix et un nouveau log HijackThis.
Merci esteban de t'occuper de mon cas, c'est l'ordinateur d'un pote dès que je peux reproduire tes inscriptions je te tiens au courant.Merci encore.
Il y a 1178 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
