infecté par Win32:Trojan-gen {Other}. [RESOLU].

infecté par Win32:Trojan-gen {Other}. [RESOLU]. - Sécurité - Virus

TomsGuide.com : 700 000 inscrits répondent à toutes vos questions high-tech et informatique.
Pour obtenir de l'aide, inscrivez-vous gratuitement !

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : infecté par Win32:Trojan-gen {Other}. [RESOLU].

pur2000

Profil : IDNaute

Plus d'informations

24-11-2007 à 19:44:28

Bonjour à tous,

J'ai un problème avec le trojan "Win32:Trojan-gen {Other}". Cela fait qq jours qu'il me fait des misères (au début des processus winoldap était lancés et un message m'avertissait que la mémoire devenait insuffisante et le PC plantait peu de temps après.) Maintenant après chaque démarrage et toutes les 20 minutes environ avast fait les détection suivantes :
Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\IDE9MN0V\N2_21_09_07_0[1].EXE" file.
C'est toujours le même virus dans les mêmes emplacement. Il semble que j'arrive à supprimer les fichiers infectés (avec ou sans l'aide d'Avast). Mais ils reviennent toujours !!! Je ne comprends pas d'où ces fichiers proviennent.

J'ai Win 98 et avast comme antivirus. J'ai fait un scan avec A² (il détecte les memes fichiers). J'ai fait un scan en ligne sur symantec et secuser. Ils ne détectent rien. Spybot S&D ne fonctionne pas (lorsque la mise à jour a été faites)

Voici le rapport Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:33, on 22/11/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\EXECUTIVE SOFTWARE\DISKEEPERWORKSTATION\DKSERVICE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TRIDTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\TINY DISK\TINY DISK\TINYMON.EXE
C:\PROGRAM FILES\TINY DISK\TINY DISK\USBTD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\ICF.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\W98EJECT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TridTray] c:\windows\SYSTEM\tridtray.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Initialize8x8] c:\windows\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Program Files\Tiny Disk\Tiny Disk\TinyMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Program Files\Tiny Disk\Tiny Disk\USBTD.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ICSDCLT] c:\windows\rundll32.exe c:\windows\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [icf] c:\windows\system\icf.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [DkService] c:\Program Files\Executive Software\DiskeeperWorkstation\DkService.exe
O4 - HKLM\..\RunServices: [SSDPSRV] c:\windows\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\.DEFAULT\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (User 'Default user')
O4 - .DEFAULT Startup: w98Eject.lnk = C:\WINDOWS\System\w98eject.exe (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: w98Eject.lnk = C:\WINDOWS\System\w98eject.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

Merci pour votre aide.

Message édité par pur2000 le 28-11-2007 à 20:22:38

Liens sponsorisés

Inscrivez-vous ou connectez-vous pour masquer ceci.

pur2000

Profil : IDNaute

Plus d'informations

27-11-2007 à 20:54:08

Masquer

J'ai des doutes sur ce processus C:\WINDOWS\SYSTEM\ICF.EXE

Aidez moi SVP.
Merci

Message édité par pur2000 le 27-11-2007 à 20:55:19

Angeldark

Profil : Helper

Plus d'informations

27-11-2007 à 21:14:04

Masquer

Bonjour,

Quel emplacement pour l'infection ?

Désinstalle correctement Avast! pour le remplacer par AntiVir.
Pourquoi changer ? Avast! vs AntiVir

Fais un scan complet puis poste le rapport en fin d'analyse.
AIDE : Tutorial sur l'antivirus AntiVir Personal Edition Classic

---------------
Prévention & Protection||Vous m'aimez ? Cliquez :o

pur2000

Profil : IDNaute

Plus d'informations

27-11-2007 à 22:00:22

Masquer

Voici les repértoires ou AAvast détecte des fichiers infectés : c:\windows\TEMP\
C:\WINDOWS\TEMP\
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\SPU30H2J\

J'ai installé jetico (firewall) et j'ai bloqué le processus icf.exe. Depuis, j'ai l'impression que les fichiers infectés ne reviennent plus.

Antivir n'est plus disponible pour Win98, je crois ?

Message édité par pur2000 le 27-11-2007 à 22:06:23

Angeldark

Profil : Helper

Plus d'informations

27-11-2007 à 22:23:45

Masquer

Tu peux analyser ce fichier sur VirusTotal puis poster le rapport ?

---------------
Prévention & Protection||Vous m'aimez ? Cliquez :o

pur2000

Profil : IDNaute

Plus d'informations

28-11-2007 à 18:23:53

Masquer

Fichier icf.exe reçu le 2007.11.25 21:44:00 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - -
AVG - - SHeur.AALL
BitDefender - - BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Trojan.DownLoader.origin
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - BehavesLikeWin32.ExplorerHijack
Kaspersky - - Heur.Trojan.Generic
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Bck/Hupigon.KTU
Prevx1 - - Covert.Code
Rising - - -
Sophos - - Mal/Behav-150
Sunbelt - - Win32.ExplorerHijack
Symantec - - -
TheHacker - - Trojan/ExplorerHijack.gen
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
Information additionnelle
MD5: 4ea8e1c2c16360a6acaffa5162c7b1a1

Angeldark

Profil : Helper

Plus d'informations

28-11-2007 à 19:01:02

Masquer

Tu peux supprimer ce fichier

---------------
Prévention & Protection||Vous m'aimez ? Cliquez :o

pur2000

Profil : IDNaute

Plus d'informations

28-11-2007 à 20:20:57

Masquer

C'est fait, je l'ai viré !!!
Je n'avait plus de détection de trojan depuis que je avait empêché icf.exe d'accèder à internet.
Merci pour ton aide

Angeldark

Profil : Helper

Plus d'informations

28-11-2007 à 20:39:08

Masquer

Reposte quand même un rapport Hijackthis.

---------------
Prévention & Protection||Vous m'aimez ? Cliquez :o

pur2000

Profil : IDNaute

Plus d'informations

28-11-2007 à 21:05:06

Masquer

OK,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:11, on 28/11/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\EXECUTIVE SOFTWARE\DISKEEPERWORKSTATION\DKSERVICE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TRIDTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\TINY DISK\TINY DISK\TINYMON.EXE
C:\PROGRAM FILES\TINY DISK\TINY DISK\USBTD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\JETICO\JETICO PERSONAL FIREWALL\FWSRV.EXE
C:\WINDOWS\SYSTEM\W98EJECT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TridTray] c:\windows\SYSTEM\tridtray.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Initialize8x8] c:\windows\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Program Files\Tiny Disk\Tiny Disk\TinyMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Program Files\Tiny Disk\Tiny Disk\USBTD.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ICSDCLT] c:\windows\rundll32.exe c:\windows\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [DkService] c:\Program Files\Executive Software\DiskeeperWorkstation\DkService.exe
O4 - HKLM\..\RunServices: [SSDPSRV] c:\windows\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\.DEFAULT\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (User 'Default user')
O4 - .DEFAULT Startup: w98Eject.lnk = C:\WINDOWS\System\w98eject.exe (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: w98Eject.lnk = C:\WINDOWS\System\w98eject.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

--
End of file - 4524 bytes

Angeldark

Profil : Helper

Plus d'informations

28-11-2007 à 21:14:55

Masquer

C'est mieux ?

---------------
Prévention & Protection||Vous m'aimez ? Cliquez :o

pur2000

Profil : IDNaute

Plus d'informations

29-11-2007 à 19:05:05

Masquer

Ouai, j'ai l'impression que les fichiers douteux (dans les fichiers Temp et Temporary Internet Files) ne sont plus téléchargés sur mon ordi.
Avast ne détecte plus rien !

Wait and see !

Angeldark

Profil : Helper

Plus d'informations

29-11-2007 à 19:57:31

Masquer

Des questions ?

---------------
Prévention & Protect

Messages similaires

Dans l'actualité

Les pires virus de 2007

Alerte de sécurité : Fausse mise à jour de Windows

Trojan Remover 4.9.6

Sobig.E - alerte importante

Les téléchargements

Ressources relatives

Les derniers dossiers

Macworld : l'état des rumeurs Apple

Plongée dans le monde du logiciel libre

Quelle console acheter pour Noël ?

Quels écouteurs pour moins de 100 euros ?

Téléchargement

Les offres partenaires