[OK]Virus détecté : Trojan

friduchita · Message par **friduchita** » 07 mars 2005, 01:39:00

Slt !
Mon anti-virus (AntiVir) a détecté un virus nommé TR/dldr.1st.Gen.1A. Il l'élimine mais il semble revenir à chaque fois. Il est sensé être dans Documents and settings/Utilisateur/Temporary Internet Files mais en faisant une recherche manuelle ces dossiers n'existent pas.... J'ai essayé Trojan Remover qui scanne mais ne voit rien. Ce virus semble affecter Internet Explorer. j'ai cherché des renseignements en ligne mais rien sur ce nom de virus... PLEASE aidez-moi à m'en débarrasser !!

kiwi · Message par **kiwi** » 07 mars 2005, 07:58:00

Bonjour
Télécharge Hitman pro, installe le, tu le lance et laisse le faire.
C'est un peu long, mais efficace. <IMG SRC="/images/smiles/tounge_smile46.gif">
<a href="http://www.clubic.com/telecharger-fiche ... n-pro.html" target="_blank">http://www.clubic.com/telecharger-fiche ... ro.html</a>

kiwi · Message par **kiwi** » 07 mars 2005, 08:01:00

Ah, j'oubliais, c'est en allemand ou je ne sais plus quelle langue, mais enfantin a s'en servir <IMG SRC="/images/smiles/teeth_smile46.gif"> En néerlandais, en fait. Titus.

alain51 · Message par **alain51** » 07 mars 2005, 10:39:00

Salut,

Essaye cela :

Désactive la restauration automatique.
Clic droit sur Poste de travail/Propriétés, onglet Restauration du système
sélectionne Désactiver la restauration...

Tu rebootes, tu entres en mode sans échec, tu supprimes les cookies et les fichiers
temporaires internet, et tu refais un scan antivirus, toujours en mode sans échec.

Il devrait te le supprimer.

friduchita · Message par **friduchita** » 07 mars 2005, 10:53:00

Merci à tous les deux.
J'ai téléchargé Hitman Pro qui a fait son boulot plutà´t rapidement. Il a trouvé un grand nombre de cookies et spywares ainsi que plusieurs trojans :
- Click.NoNameA
- Top Converting Downloader
- SD Bot
Tout semble clean... Néanmoins j'ai suivi le conseil d'Alain51 et affiché les fichiers cachés. Et là je refais un scan avec Antivir . S'il trouve quoi que ce soit j'irai les supprimer manuellement (après avoir désactivé le système de restauration).
Après à§a, vous pensez que je peux dormir tranquille ?
Autre question : est-ce Hitman Pro ne créera pas de probs avec Antivir ? Dois-je le désinstaller ?
Merci !

friduchita · Message par **friduchita** » 07 mars 2005, 11:00:00

Euh... quelqu'un pourrait-il me "rappeler" <IMG SRC="/images/smiles/embaressed_smile46.gif"> comment on entre en mode sans échec ?

alain51 · Message par **alain51** » 07 mars 2005, 11:19:00

Après l'affichage des infos du bios, avant la page "chargement de windows" avec la
barre de progression en bas, appuie sur F8.

Titus · Message par **Titus** » 07 mars 2005, 11:44:00

Salut,

Non, Hitman Pro n'est pas un programme résident, donc, il ne créera pas de perturbations.

friduchita · Message par **friduchita** » 07 mars 2005, 12:34:00

Merci Titus !
J'ai fait tout ce que recommandait Alain51. J'ai effacé tous les cookies, j'ai fait un scan en mode sans échec (AntiVir n'a rien trouvé ). Seul problème : impossible de supprimer les fichiers dans Temporary Internet Files... Que faire ?
Autre question : une fois tout rentré dans l'ordre, dois-je à nouveau activer la restauration automatique ?
Merci !

friduchita · Message par **friduchita** » 07 mars 2005, 15:12:00

Bon, tout semblait aller bien : le dernier scan d'AntiVir ne décelait rien, j'avais tout bien fait comme vous me l'avez indiqué. seulement, AntiVir n'arrête pas de me signaler des intrusions de virus. Dernière en date : 
C:DOCUME~1UTILIS~1LOCALS~1TEMPTEMPORARY INTERNET FILESCONTENT.IE5BRIC9EUTBO[1].ZIP

Contains a signature of the (dangerous) backdoor program BDS/Wisdoor.K Backdoor server programs 
Tout semble lié aux Temporary Internet Files (que je viens pourtant de vider). Quelqu'un peut-il m'expliquer ce qu'est un "Backdoor server program" (bien que j'en aie une horrible intuition...) et surtout me conseiller pour me débarrasser définitivement de tous ces probs et revenir à la normale ?
Merci d'avance !
Note : le PC semble pour le moment se comporter tout à fait normalement, ni ralentissement ni rien...

alain51 · Message par **alain51** » 07 mars 2005, 17:43:00

Regarde voir dans la base de registre (Démarrer/Exécuter , écris regedit )

Regarde s'il n'y a pas une adresse qui corresponde à
celle que ton antivirus indique, ou copie ici les noms que tu as dans la clé :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Titus · Message par **Titus** » 07 mars 2005, 18:05:00

Salut,

Tu as sans doute installé (sans le savoir ou contre ton gré) un programme qui télécharge un spyware dans tes fichiers temporaires et cela de facon automatique dès que tu accèdes à internet. Solution évidente: employer un firewall digne de ce nom, pas le "bibule" intégré à XP, ainsi, même si tu ramasses un spyware, il ne servira à rien, ton firewall l'empêchera de sortir.

Pour essayer de le débusquer, va sur <a href="http://www.titus.be.tf" target="_blank">www.titus.be.tf</a> , rubrique "HijackThis" fais un log (en étant connecté à internet, IMPORTANT) et copie/colle-le dans ta réponse.

friduchita · Message par **friduchita** » 07 mars 2005, 18:28:00

Voici ce qu'on ytrouve (dans la clé) :
RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll.NvStartup
hotkeysvc.exe
PCsync.exe
cthelper.exe

(je n'ai pas noté ce qui me semblait correspondre à un programme connu).

Titus a sans aucun doute raison, car le téléchargement du virus semble automatique et passe de toute évidence par Internet.

friduchita · Message par **friduchita** » 07 mars 2005, 18:42:00

résultat :

Logfile of HijackThis v1.99.1
Scan saved at 18:41:09, on 07/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPersonalAVGUARD.EXE
C:Program FilesAVPersonalAVWUPSRV.EXE
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesAVPersonalAVGNT.EXE
C:Program FilesMSN MessengerMsnMsgr.Exe
C:WINDOWSsystem32hotkeysvc.exe
C:WINDOWSsystem32cthelper.exe
C:WINDOWSsystem32PCsync.exe
C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
C:Program FilesSAGEMSAGEM <a href="mailto:F@st">F@st</a> 800-840dslmon.exe
C:Program FilesWinZipWZQKPICK.EXE
C:Program FilesClub-InternetLanceurlanceur.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = <a href="http://www.translatorscafe.com/cafe/Sea ... p?Selected" target="_blank">http://www.translatorscafe.com/cafe/Sea ... elected</a>
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Internet Explorer avec Club-Internet
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [CPQHotkeys] hotkeysvc.exe
O4 - HKLM..Run: [CTHelper] cthelper.exe
O4 - HKLM..Run: [PcSync] PCsync.exe
O4 - HKLM..RunServices: [CPQHotkeys] hotkeysvc.exe
O4 - HKLM..RunServices: [CTHelper] cthelper.exe
O4 - HKLM..RunServices: [PcSync] PCsync.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [CPQHotkeys] hotkeysvc.exe
O4 - HKCU..Run: [CTHelper] cthelper.exe
O4 - HKCU..Run: [PcSync] PCsync.exe
O4 - HKCU..RunServices: [CPQHotkeys] hotkeysvc.exe
O4 - HKCU..RunServices: [CTHelper] cthelper.exe
O4 - HKCU..RunServices: [PcSync] PCsync.exe
O4 - Startup: Club Internet.lnk = C:Program FilesClub-InternetLanceurlanceur.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM <a href="mailto:F@st">F@st</a> 800-840dslmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:Program FilesWinZipWZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - <a href="res://C:PROGRA~1MICROS~4OFFICE11EXCEL.EXE/3000" target="_blank">res://C:PROGRA~1MICROS~4OFFICE11EXCEL.EXE/3000</a>
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_05binnpjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavaj2re1.4.2_05binnpjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~4OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O12 - Plugin for .mid: C:Program FilesInternet ExplorerPLUGINSnpqtplugin2.dll
O12 - Plugin for .mpg: C:Program FilesInternet ExplorerPLUGINSnpqtplugin3.dll
O12 - Plugin for .wav: C:Program FilesInternet ExplorerPLUGINSnpqtplugin.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - <a href="http://housecall-beta.trendmicro.com/ho ... scan60.cab" target="_blank">http://housecall-beta.trendmicro.com/ho ... n60.cab</a>
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - <a href="http://v5.windowsupdate.microsoft.com/v ... 9234208008" target="_blank">http://v5.windowsupdate.microsoft.com/v ... 4208008</a>
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - <a href="http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab" target="_blank">http://www.mypixmania.com/fr/fr/tools/a ... fpu.cab</a>
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - <a href="http://www.pandasoftware.com/activescan/as5/asinst.cab" target="_blank">http://www.pandasoftware.com/activescan ... nst.cab</a>
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - <a href="http://www.photoways.com/clients/ImageUploader3.cab" target="_blank">http://www.photoways.com/clients/ImageUploader3.cab</a>
O17 - HKLMSystemCCSServicesTcpip..{54239EF7-ECE5-49FA-A578-F5B0EB83ACDA}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:Program FilesAVPersonalAVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:Program FilesAVPersonalAVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:WINDOWSSYSTEM32slserv.exe

Titus · Message par **Titus** » 07 mars 2005, 19:04:00

Salut,

Eh bien, ton log ne nous apprend rien de spécial, certaines choses pourraient-êre effacées, mais il ne contient rien de dangereux.

Informatique Pratique

[OK]Virus détecté : Trojan

[OK]Virus détecté : Trojan

Qui est en ligne