Forum Clubic

Trojan horse clicker - impossible à virer

Salut

Je suis sur windows XP avec le SP1. SpySweeper me détecte le trojan horse clicker dans la base de registre mais même si je l’enlève, si je redémarre, il le retrouve encore. Avec Ad-Aware, et SpyBot, aucun des deux ne le trouve même avec mise à jour respective.

Je me retrouve aussi avec IE Search ToolBar, Coolwebsearch, qui sont pareils, détectés, virés, et au démarrage suivant ils sont encore là :’(

Quand je démarre windows aussi, j’ai des fichiers sysXXX.exe qui se placent dans c:\windows et se multiplient, environ une dizaine ou une quinzaine de fichiers avec des numéros différents, et ils essayent de se connecter à internet d’après mon firewall. Je peux les supprimer à la main ou avec l’antivirus qui les détecte, mais bon çà revient toujours après chaque boot aussi.

Ca fait quatre jours que j’essaye des softs, des méthodes “à la main” vues dans des forums à partir de Google, je suis preneur d’idées parce que je suis à court là… :’(

merci d’avance, Seb

Deja n’utilise pas internet explorer (tu as du te les prendre la dessus)mais utilise Mozilla Firefox pour surfer (plus rapide, moins de failles etc…) après met en quarantaine ses petits spyware assez ch***. regarde s’il ne sont pas non plus dans tes point de restauration système. Met bien a jour antivirus et antispyware puis reanalyse. Fais aussi une analyse avec l’antivirus de www.secuser.com . Si ton trojan revient dis moi si tu as un modem 56k interne car dans certain cas il génère des trojan (si tu en a un et que tu as l’ADSL débranche ton modem 56k qui est à l’intérieur de ton UC). Après pour les autres spyware sa doit soit être lié au trojan soit c’est à ta connexion que internet explorer s’ouvre mais sans faire apparaitre de fenêtre et va telecharger tes spyware à la ***.

désactive ta resto système
repasse un coup de spybot (lancement programmé au démarrage du système : tu trouveras çà dans mode avancé–>réglages–>démarrage du système) tout çà en mode sans échec
pour spybot, va dans Mode>paramétes avancés–>réglages–>ignorer produits–>allproducts et décoche les 3 ou 4 ki sont cochés voir ici http://www.putfile.com/pic.php?pic=1/1911355989.jpg
refais tes manip de suppression toujours en mode sans échec et système de resto désactivée
tiens nous au courant, regarde si tu peux nous faire un log hijackthis une fois tout çà fait
http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html
lance cet utilitaire et fait “Do a system scan and save log” copie/colle le log ici et on regardera ce ki cloche :wink:
paulux39, la sempiternelle réponse de donner un autre navigateur aux gens ki ont des problèmes peut en effet être une soluce, pour ma part j’utilise depuis toujours IE, je n’ai jamais eu de soucis avec, il suffit de le paramètrer, tout comme firefox, ou d’autres :wink:
mais là n’est pas le débat… :stuck_out_tongue:

[quote=“TazBurner_1_1”]
[b]voir ici http://www.putfile.com/pic.php?pic=1/1911355989.jpg<!–] :??:

ste une blaque? :stuck_out_tongue:

oups :stuck_out_tongue:
http://forum.clubic.com/forum2.php?config=clubic.inc&post=27601&cat=6&cache=&sondage=0&owntopic=0&p=1&trash=0&subcat=0
:wink:

Ma situation s’est largement améliorée mais ce n’est pas entièrement résolu je pense.
Je n’ai plus tous les fichiers sysxxxx.exe virussés qui se créent et se multiplient après chaque boot, dans c:\windows donc c’est déjà pas mal !
Ils sont partis en suivant la méthode que j’ai trouvée ici : http://www.help2go.com/article217.html

C’était le plus important et le plus gênant.

Maintenant il me reste toujours le trojan Cliker Spyre, que je détecte et j’enlève avec par exemple spysweeper, ou hijackthis car c’est dans la base de registres. Je boot et çà revient encore au boot suivant. Même si j’ai suivi vos conseils, en mode sans échec + restauration désactivée…

Celui-là reste coriace, même si apparemment, il ne se passe rien de grave sur la machine… Voici le log de hijackthis…

Logfile of HijackThis v1.99.0
Scan saved at 04:15:59, on 01/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\SygatePersonalFirewall\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\AVG7\avgamsvr.exe
D:\PROGRA~1\AVG7\avgupsvc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\AVG7\avgcc.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\System32\mshelp32.exe
D:\PROGRA~1\AVG7\avgemc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Creative\TaskBar\CTLTray.exe
D:\Program Files\Creative\TaskBar\CTLTask.exe
D:\Program Files\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Seb\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot\SDHelper.dll
O2 - BHO: (no name) - {A708A39C-8DA7-4e36-B3B0-0A1FFAFD4B6D} - C:\WINDOWS\system32\javafix3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [AVG7_CC] D:\PROGRA~1\AVG7\avgcc.exe /STARTUP
O4 - HKLM…\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM…\Run: [SmcService] D:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM…\Run: [mshelp32] C:\WINDOWS\System32\mshelp32.exe
O4 - HKLM…\Run: [AVG7_EMC] D:\PROGRA~1\AVG7\avgemc.exe
O4 - HKLM…\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKCU…\Run: [TaskTray] “D:\Program Files\Creative\TaskBar\CTLTray.exe”
O4 - HKCU…\Run: [TaskBar] “D:\Program Files\Creative\TaskBar\CTLTask.exe”
O4 - HKCU…\Run: [msjava critical update] c:\windows\jjfixer.exe
O4 - HKCU…\Run: [SpySweeper] “D:\Program Files\Spy Sweeper\SpySweeper.exe” /0
O4 - HKCU…\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - D:\PROGRA~1\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - D:\PROGRA~1\AVG7\avgupsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - D:\Program Files\SygatePersonalFirewall\smc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Iomega Active Disk - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe

O2 - BHO: (no name) - {A708A39C-8DA7-4e36-B3B0-0A1FFAFD4B6D} - C:\WINDOWS\system32\javafix3.dll
O4 - HKLM…\Run: [mshelp32] C:\WINDOWS\System32\mshelp32.exe
O4 - HKCU…\Run: [msjava critical update] c:\windows\jjfixer.exe

C:\WINDOWS\System32\mshelp32.exe
ceux-ci ci sont à supprimer…

O4 - HKLM…\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU…\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

…pour “spool services” voir le site d’en bas…
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ag.html