Se connecter avec
S'enregistrer | Connectez-vous

infection adware et trojano

Dernière réponse : dans Sécurité

Bonjour à tous,
je ne suis pas experte en informatique et j'ai besoin d'un gros coup de pouce. Depuis que j'ai réinstallé ma free box avast m'averti que mon ordinateur est infecté par un cheval de Troie, win32:Trojano-2365. J'ai essayé de le mettre en quarantaine, de le supprimer... mais rien à faire il réapparaît toujours. ET depuis aujourd'hui apparaît aussi un message d'alerte pour me prévenir que je suis aussi infectée par un Adware, Win32:Adware-gen.
Bref c'est la cata, je ne sais plus comment m'y prendre et cet ordi est mon outil de travail...
Du coup je viens de regarder ce qui se disait sur le forum. J'ai déjà tenté de rrelancer un scan avec avast en mode sans échec, seulement quand je tapote F8 au démarrage, je ne vois rien qui ressemble à un choix "mode sans échec" (je sais ma culture informaticienne laisse à désirer, mais je pensais pourtant avoir bien fait...). J'en suis finalement à avoir télécharger Hijackthis 1.99.1 et voilà le résultat :

Logfile of HijackThis v1.99.1
Scan saved at 16:56:28, on 29/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\msbitsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\nvidcgui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\sfx.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\MediaGateway\MediaGateway.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\Download\freeprodtb.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRMY~1.LAU\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awtsr.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PATHPILOT] C:\Program Files\Smart Sound Recorder\RecSys.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000172.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://www.msnjeux.com/online2/MSN_INTL_FRANCE/bejewele...
O18 - Filter: text/html - {99F8BD85-D894-4F4D-BE80-49326879ADB0} - C:\WINDOWS\System32\fkgp.dll
O18 - Filter: text/plain - {99F8BD85-D894-4F4D-BE80-49326879ADB0} - C:\WINDOWS\System32\fkgp.dll
O20 - Winlogon Notify: awtsr - C:\WINDOWS\SYSTEM32\awtsr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe


Si quelqu'un peut m'aider, j'attends sa réponse avec impatience et merci d'avance.

Autres pages sur : infection adware trojano

Lassé par la pub ? Créez un compte

Salut,

0- Désinstalle Media Gateway dans Ajout/Suppression de programmes


1- Redémarre en mode sans échec

2- Relance HJT, coche ces lignes et appuie sur Fix Checked :
Citation :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JRMY~1.LAU\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000172.exe

O18 - Filter: text/html - {99F8BD85-D894-4F4D-BE80-49326879ADB0} - C:\WINDOWS\System32\fkgp.dll
O18 - Filter: text/plain - {99F8BD85-D894-4F4D-BE80-49326879ADB0} - C:\WINDOWS\System32\fkgp.dll

O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe


3- Supprime ces fichiers :
C:\WINDOWS\nvidcgui.exe
C:\WINDOWS\System32\fkgp.dll
C:\Program Files\Fichiers communs\Windows\mc-110-12-0000172.exe
msnq3insller.exe
C:\Program Files\MediaGateway\ (suppr. ce dossier)
C:\sfx.exe
C:\DOCUME~1\JRMY~1.LAU\LOCALS~1\Temp\ (vide ce dossier de tout son contenu)

4- Redémarre normalement

Maintenant tu as une désinfection avec Vundo à faire :

Désinfection avec VundoFix
1) Redémarre l'ordinateur
2) Après les écritures du BIOS, appuie sur la touche F8 (si F8 ne marche pas, appuie sur F5) pour arriver à un menu avec des écritures blanches sur un fond noir.
3) Dans ce menu, utilises les flèches de ton clavier pour naviguer et choisir le mode sans échec. Valide avec la touche Entrée.
4) Le démarrage en mode sans échec est long généralement. Tu vas avoir des écritures blanches bizarres, ne t'inquiète pas c'est normal. Prend ton mal en patience pour que ça démarre.
5) Si au bout d'un trop long temps (genre 5 minutes), ça n'a toujours pas redémarré, dis le, je t'expliquerais comment faire sans redémarrer en mode sans échec.
[/quote]

4) Va dans le dossier VundoFix que tu viens de créer, et lance KillVundo.bat
Tu auras alors ce message :
Citation :
VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....


Appuie sur Entrée. Tu auras alors ce message :

Citation :
Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\awtsr.dll


Et valide avec Entrée. Maintenant, appuie sur la touche F6, puis sur la touche Entrée à nouveau, tu auras alors ce texte :

Citation :
Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\rstwa.*


Revalide avec Entrée, appuie sur F6 et revalide par Entrée.

HijackThis se lance automatiquement, choisi alors Do a system scan and save a logfile
Coche ces lignes et appuie sur Fix Checked :


O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\awtsr.dll

O20 - Winlogon Notify: awtsr - C:\WINDOWS\SYSTEM32\awtsr.dll


Quitte HijackThis, et appuie sur une touche pour redémarrer le PC.
Cette désinfection peut provoquer un écran bleu de Windows, ne t'inquiète pas, c'est normal.

Une fois que tu as redémarré, poste un nouveau log HijackThis.
Lassé par la pub ? Créez un compte

Créer un nouveau sujet

Tom's guide dans le monde