Forum Clubic

Pc contaminé - Spam et Trojan qui persiste

Salut
Pouvez vous m’aider?
Mon Pc Os XP est infecté par une flopé des Trojan et Spyware que je n’arrive pas a viré.
Mon antivirus est Kaspersky qui détecte mais n’arrive pas a suprimé.
Adware6.0 et Hitman Pro pareil.
j’ai ne icone pres de l’horloge avec le signe de winupdate qui ne dit que je suis infecté et une page IE qui instal non stop SpyAxe et me de mande de paye.
bref je voudrais bien enlevé tout ça mais rien a faire.
ci dessous qq élément présent.
Merci de me répondre avec réponse.

C:\WINDOWS\SYSTEM32\mscornet.exe
Generic Downloader.y trojan !!!
C:\WINDOWS\SYSTEM32\wininet.dll
W32/Alemod.f.dll virus !!!
C:\WINDOWS\SYSTEM32\ldCC29.tmp
Downloader-AGW trojan !!!

Security Toolbar
Trojan.Downloader.Delf.LH
Trojan.Popuper
Trojan.StartPage.ADH
Trojan.Zlob.AP
WorldAntiSpy
Trojan.Agent.DJ
Rogue Anti-Spyware Products
Anti-Phishing
IEPlugin
PSGuard Desktop Hijacker
Block-Checker
Common Components for Claria
WinFixer 2005

pour l’antivirus,désactives la restauration,relance le pc en mode sans echec (F8) et relance un scan.

pour les spywares, passe un coup de spybot,je pense pas que cela soit suffisant aussi je te cherche les methodes specifiques a chaque spy. pour les retirer.
:slight_smile:

. pour security toolbar il doit y a voir un uninstall (dans ajout/suppression de prog.) et bien effacer les dernieres traces dans le repertoire.
. pour tes trojans:
ftp://d-eu-1f.kaspersky-labs.com/utils/clrav/clrav.zip
et
http://download6.emsisoft.com/a2freesetup.exe
et enfin:
http://www.clubic.com/telecharger-fiche12261-stinger.html
/!\ passer tout ca en mode sans echec et en ayant desactivé la restauration de windows, et bien passer spybot aussi /!\

Apres un reboot, tu lances HijackThis et nous donne son log:
http://www.clubic.com/telecharger-fiche17891-hijackthis.html

perxonne ne sais si c’est un virus???
samantoche_josephine@hotmail.fr ???
merci de repondre c urgent

ça urgeeeeeeeee!!!

c est des spy et trojans , comme dit precedamment redemarre en mode sans echec ( touche f8 quant le pc redemarre ) puis passe KAV , il devrait virer tous ça

:MDR

merci pour les infos crocodudule
j’ai pu virer 8 malware avec Stinger.

Par contre il me reste toujours une icone qui clignote entre style win update et une coisx sur fond rouge qui developpe un message ( pc infecté veuiller installer un spyware pour protéger votre ordinateur) si l’on clique dessus une page web s’ouvre sur www.spyaxe.com avec demande d’installer puis de payer le soft.

et KAV me protège à chaque fois d’une attaque appelé “Helkern” je sais pas ce que sais.

Merci pour les réponses passé et avenir.

nous donner le log de HijackThis :slight_smile: (cf plus haut)

Voici ce que donne Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 19:11:20, on 14/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\Program Files\a-squared\a2guard.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Standard\Mes documents\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: HomepageBHO - {7288c0bd-7f2f-4229-a0c4-3c90a6e2a881} - C:\WINDOWS\System32\hp6619.tmp (file missing)
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\…\Run: [SystemTray] SysTray.Exe
O4 - HKLM\…\Run: [CnxDslTaskBar] “C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe” “ZTE Corporation\ZXDSL852”
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [KAVPersonal50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize
O4 - HKCU\…\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\…\Run: [Red Swoosh EDN Client] C:\Program Files\RSSoft\RSEDNClient.exe
O4 - HKCU\…\Run: [a-squared] “C:\Program Files\a-squared\a2guard.exe”
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra ‘Tools’ menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
O9 - Extra ‘Tools’ menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1128178114040
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1128745490135
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{591E8A46-B360-4780-994A-FD8A7B883EDE}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

bon en fait je n’arrive pas a indentifier 2 lignes que je trouve suspectes :neutre:

passe la version de test de ca:
http://www.download.com/Webroot-Spy-Sweepe…4-10405877.html
Clic sur le lien Free Trial sous la rubrique “SpySweeper”.
Installe le programme. Une fois installé, il se lancera.
L’option de le mettre à jour s’affichera; clic Yes.
Lorsque les mises à jour seront installées, clic Options sur la gauche.
Clic sur l’onglet Sweep Options.
Sous What to Sweep, coche les options suivantes:
Sweep Memory
Sweep Registry
Sweep Cookies
Sweep All User Accounts
Enable Direct Disk Sweeping
Sweep Contents of Compressed Files
Sweep for Rootkits
DÉCOCHE Do not Sweep System Retore Folder.
Clic Sweep Now sur la gauche.
Clic sur Start.
Quand le scan est terminé, clic sur Next.
Assure-toi que tous les items sont cochés, puis clic sur Next.
Tous les items cochés seront éliminés.
Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
Clic Session Log au haut - à droite, et copie tout ce qu’il y a dans la fenêtre.
Clic sur l’onglet Summary, puis clic sur Finish.
Colle le contenu du “Session Log” dans ta prochaine réponse.

Telecharges un firewall,visiblement tu n’en as pas puisque tu manges des attaques de Helkern, si tu ne sais pas comment te servir de ce genre de chose, prendre la version gratuite de celui-ci:
http://www.clubic.com/telecharger-fiche10494-zonealarm.html
installes et gardes toujours le firewall actif.
Le firewall va t’indiquer si tu es attaqué par Helkern, ou si tu lances sans le savoir des attaques Helkern. Si c’et le 2°cas me prevenir.
:slight_smile:

ps: pour limiter les degats,utilises ce navigateur pour surfer si c’est pas deja fait:
http://www.clubic.com/telecharger-fiche110…la-firefox.html
(autorises l’installation du plugin flash lorsque tu es sur le site clubic).
penses a mettre a jour ton windows si c’est pas deja fait.
Dernier element si tu utilises kazaa,dinstalles moi ce truc plien de spyware,(une des lignes suspectes semble etre l’un d’entre eux).

:hello:

O2 - BHO: HomepageBHO - {7288c0bd-7f2f-4229-a0c4-3c90a6e2a881} - C:\WINDOWS\System32\hp6619.tmp (file missing)
http://www.castlecops.com/tk23849-hp_tmp_r…r_or_digit.html

O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll (file missing)
http://castlecops.com/o20list-140.html

soufege
comment ce fesse :whistle: que tu as un activX de W.Update v6

http://update.microsoft.com/windowsupdate/…b?1128178114040

mais que t’y fous jamais les pieds vraiment ?

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

4 ans de correctifs en retard, genre … :paf:

Les lignes dans le log sont à cocher APRES avoir scanné avec Spy Sweeper

[color=blue]Merci à tous pour toutes ces info.
Problme résolus.[/color]

avec plaiz :jap:

Salut a tous

G un probleme : un VIRUS. Il s’apelle W32:Alernod.f.dll
le chemin C:\WINDOWS\SYSTEM32\wininet.dll
J’arrive po a le suprimer
Mon antivirus C Mc afree et g un windows XP

C urgent !!!