Informatique Pratique

Toute l'aide dont vous avez besoin !!!
http://forums.infoprat.fr/

[OK]Virus détecté : Trojan

http://forums.infoprat.fr/viewtopic.php?f=22&t=28898

Page 1 sur 3

[OK]Virus détecté : Trojan

Posté : 07 mars 2005, 01:39:00
par friduchita
Slt !
Mon anti-virus (AntiVir) a détecté un virus nommé TR/dldr.1st.Gen.1A. Il l'élimine mais il semble revenir à chaque fois. Il est sensé être dans Documents and settings/Utilisateur/Temporary Internet Files mais en faisant une recherche manuelle ces dossiers n'existent pas.... J'ai essayé Trojan Remover qui scanne mais ne voit rien. Ce virus semble affecter Internet Explorer. j'ai cherché des renseignements en ligne mais rien sur ce nom de virus... PLEASE aidez-moi à m'en débarrasser !!

Posté : 07 mars 2005, 07:58:00
par kiwi
Bonjour
Télécharge Hitman pro, installe le, tu le lance et laisse le faire.
C'est un peu long, mais efficace. <IMG SRC="/images/smiles/tounge_smile46.gif">
<a href="http://www.clubic.com/telecharger-fiche ... n-pro.html" target="_blank">http://www.clubic.com/telecharger-fiche ... ro.html</a>

Posté : 07 mars 2005, 08:01:00
par kiwi
Ah, j'oubliais, c'est en allemand ou je ne sais plus quelle langue, mais enfantin a s'en servir <IMG SRC="/images/smiles/teeth_smile46.gif"> <font color="blue"> En néerlandais, en fait. Titus.</font>

Posté : 07 mars 2005, 10:39:00
par alain51
Salut,

Essaye cela :

Désactive la restauration automatique.
Clic droit sur Poste de travail/Propriétés, onglet Restauration du système
sélectionne Désactiver la restauration...

Tu rebootes, tu entres en mode sans échec, tu supprimes les cookies et les fichiers
temporaires internet, et tu refais un scan antivirus, toujours en mode sans échec.

Il devrait te le supprimer.

Posté : 07 mars 2005, 10:53:00
par friduchita
Merci à  tous les deux.
J'ai téléchargé Hitman Pro qui a fait son boulot plutà´t rapidement. Il a trouvé un grand nombre de cookies et spywares ainsi que plusieurs trojans :
- Click.NoNameA
- Top Converting Downloader
- SD Bot
Tout semble clean... Néanmoins j'ai suivi le conseil d'Alain51 et affiché les fichiers cachés. Et là  je refais un scan avec Antivir . S'il trouve quoi que ce soit j'irai les supprimer manuellement (après avoir désactivé le système de restauration).
Après à§a, vous pensez que je peux dormir tranquille ?
Autre question : est-ce Hitman Pro ne créera pas de probs avec Antivir ? Dois-je le désinstaller ?
Merci !

Posté : 07 mars 2005, 11:00:00
par friduchita
Euh... quelqu'un pourrait-il me "rappeler" <IMG SRC="/images/smiles/embaressed_smile46.gif"> comment on entre en mode sans échec ?

Posté : 07 mars 2005, 11:19:00
par alain51
Après l'affichage des infos du bios, avant la page "chargement de windows" avec la
barre de progression en bas, appuie sur F8.

Posté : 07 mars 2005, 11:44:00
par Titus
Salut,

Non, Hitman Pro n'est pas un programme résident, donc, il ne créera pas de perturbations.

Posté : 07 mars 2005, 12:34:00
par friduchita
Merci Titus !
J'ai fait tout ce que recommandait Alain51. J'ai effacé tous les cookies, j'ai fait un scan en mode sans échec (AntiVir n'a rien trouvé ). Seul problème : impossible de supprimer les fichiers dans Temporary Internet Files... Que faire ?
Autre question : une fois tout rentré dans l'ordre, dois-je à  nouveau activer la restauration automatique ?
Merci !

Posté : 07 mars 2005, 15:12:00
par friduchita
Bon, tout <I>semblait</I> aller <I>bien</I> : le dernier scan d'AntiVir ne décelait rien, j'avais tout bien fait comme vous me l'avez indiqué. seulement, AntiVir n'arrête pas de me signaler des intrusions de virus. Dernière en date : <B>
C:DOCUME~1UTILIS~1LOCALS~1TEMPTEMPORARY INTERNET FILESCONTENT.IE5BRIC9EUTBO[1].ZIP

Contains a signature of the (dangerous) backdoor program BDS/Wisdoor.K Backdoor server programs </B>
Tout semble lié aux Temporary Internet Files (que je viens pourtant de vider). Quelqu'un peut-il m'expliquer ce qu'est un "Backdoor server program" (bien que j'en aie une horrible intuition...) et surtout me conseiller pour me débarrasser définitivement de tous ces probs et revenir à  la normale ?
Merci d'avance !
Note : le PC semble pour le moment se comporter tout à  fait normalement, ni ralentissement ni rien...

Posté : 07 mars 2005, 17:43:00
par alain51
Regarde voir dans la base de registre (Démarrer/Exécuter , écris regedit )

Regarde s'il n'y a pas une adresse qui corresponde à 
celle que ton antivirus indique, ou copie ici les noms que tu as dans la clé :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun


Posté : 07 mars 2005, 18:05:00
par Titus
Salut,

Tu as sans doute installé (sans le savoir ou contre ton gré) un programme qui télécharge un spyware dans tes fichiers temporaires et cela de facon automatique dès que tu accèdes à  internet. Solution évidente: employer un firewall digne de ce nom, pas le "bibule" intégré à  XP, ainsi, même si tu ramasses un spyware, il ne servira à  rien, ton firewall l'empêchera de sortir.

Pour essayer de le débusquer, va sur <a href="http://www.titus.be.tf" target="_blank">www.titus.be.tf</a> , rubrique "HijackThis" fais un log (en étant connecté à  internet, IMPORTANT) et copie/colle-le dans ta réponse.

Posté : 07 mars 2005, 18:28:00
par friduchita
Voici ce qu'on ytrouve (dans la clé) :
RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll.NvStartup
hotkeysvc.exe
PCsync.exe
cthelper.exe

(je n'ai pas noté ce qui me semblait correspondre à  un programme connu).

Titus a sans aucun doute raison, car le téléchargement du virus semble automatique et passe de toute évidence par Internet.

Posté : 07 mars 2005, 18:42:00
par friduchita
résultat :

Logfile of HijackThis v1.99.1
Scan saved at 18:41:09, on 07/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesAVPersonalAVGNT.EXE
C:Program FilesMSN MessengerMsnMsgr.Exe
C:WINDOWSsystem32hotkeysvc.exe
C:WINDOWSsystem32cthelper.exe
C:WINDOWSsystem32PCsync.exe
C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
C:Program FilesSAGEMSAGEM <a href="mailto:F@st">F@st</a> 800-840dslmon.exe
C:Program FilesWinZipWZQKPICK.EXE
C:Program FilesClub-InternetLanceurlanceur.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = <a href="http://www.translatorscafe.com/cafe/Sea ... p?Selected" target="_blank">http://www.translatorscafe.com/cafe/Sea ... elected</a>
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Internet Explorer avec Club-Internet
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [CPQHotkeys] hotkeysvc.exe
O4 - HKLM..Run: [CTHelper] cthelper.exe
O4 - HKLM..Run: [PcSync] PCsync.exe
O4 - HKLM..RunServices: [CPQHotkeys] hotkeysvc.exe
O4 - HKLM..RunServices: [CTHelper] cthelper.exe
O4 - HKLM..RunServices: [PcSync] PCsync.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [CPQHotkeys] hotkeysvc.exe
O4 - HKCU..Run: [CTHelper] cthelper.exe
O4 - HKCU..Run: [PcSync] PCsync.exe
O4 - HKCU..RunServices: [CPQHotkeys] hotkeysvc.exe
O4 - HKCU..RunServices: [CTHelper] cthelper.exe
O4 - HKCU..RunServices: [PcSync] PCsync.exe
O4 - Startup: Club Internet.lnk = C:Program FilesClub-InternetLanceurlanceur.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM <a href="mailto:F@st">F@st</a> 800-840dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:Program FilesWinZipWZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - <a href="res://C:PROGRA~1MICROS~4OFFICE11EXCEL.EXE/3000" target="_blank">res://C:PROGRA~1MICROS~4OFFICE11EXCEL.EXE/3000</a>
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_05binnpjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_05binnpjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~4OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O12 - Plugin for .mid: C:Program FilesInternet ExplorerPLUGINSnpqtplugin2.dll
O12 - Plugin for .mpg: C:Program FilesInternet ExplorerPLUGINSnpqtplugin3.dll
O12 - Plugin for .wav: C:Program FilesInternet ExplorerPLUGINSnpqtplugin.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - <a href="http://housecall-beta.trendmicro.com/ho ... scan60.cab" target="_blank">http://housecall-beta.trendmicro.com/ho ... n60.cab</a>
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - <a href="http://v5.windowsupdate.microsoft.com/v ... 9234208008" target="_blank">http://v5.windowsupdate.microsoft.com/v ... 4208008</a>
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - <a href="http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab" target="_blank">http://www.mypixmania.com/fr/fr/tools/a ... fpu.cab</a>
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - <a href="http://www.pandasoftware.com/activescan/as5/asinst.cab" target="_blank">http://www.pandasoftware.com/activescan ... nst.cab</a>
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - <a href="http://www.photoways.com/clients/ImageUploader3.cab" target="_blank">http://www.photoways.com/clients/ImageUploader3.cab</a>
O17 - HKLMSystemCCSServicesTcpip..{54239EF7-ECE5-49FA-A578-F5B0EB83ACDA}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:WINDOWSSYSTEM32slserv.exe

Posté : 07 mars 2005, 19:04:00
par Titus
Salut,

Eh bien, ton log ne nous apprend rien de spécial, certaines choses pourraient-êre effacées, mais il ne contient rien de dangereux.
Heures au format UTC+01:00
Page 1 sur 3
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/