Trojan sur mon ordi

Dr_Revolte · Février 15, 2009, 5:20

Bonjour,

voila j’ai un trojan sur mon ordi !

avant anti vir me le bloquer, je recevais un message je lui refusée l’accès ou je l’ajouté en quarantaine !

aujourd’hui en jouant a css, j’ai vue ma latence passé de 45 à 250 et toujours au alentour ! j’ai mi zone alarm en élevée partout !

il a bloqué 13 accèe dont :

UDPIP : 79.82.182.59
UCPPort : 23916

mais la je vois ma barre d’entrée (vert) et de sortie (Rouge) souvent monté au maximum ! et firefox mais aps mal longtemp a démarer !

Comment m’en débarrasser ? Merci

cricri58 · Février 15, 2009, 5:59

Salut

Télécharges -->Malwarebytes -->Malwarebytes (mbam)

installes + mise à jour

redemarrres en mode sans echec–>fais une analyse compléte +suppressions des infections trouvées( fais suppressions)
ensuite
installes Ccleaner
Ccleaner

décohes la case " installer la barre yahoo "–a l installation

cliques–>registre—>analyse -->Sauvegarde–>reparer les erreurs

puis nettoyeur—>analyse—>lancer le nettoyage

Redémarres ton Pc-

si ça persiste–> poste un log hijackthis

Dr_Revolte · Février 15, 2009, 7:15

oki je supprime anti vir alors ?

comment je redémarre sans echec via le logiciel ?

Edit du temps que j’ai posté le 1er message et la 76 tentative bloqué de connections au total !
Edité le 15/02/2009 à 19:18

cricri58 · Février 15, 2009, 7:25

re

en aucun as tu supprimes ton Antivirus " Avira antivir "

car " Malwarebytes " est un AntiSpyware que tu conserveras et à jour

Tuto–>Mode sans Echec

en clair

Redémarre en “Mode sans échec” : redémarres ton ordinateur et tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle

Lances–> Malwarebytes (MBAM)

Puis vas dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”
Sélectionnes tes disques durs" puis clique sur “Lancer lexamen”
A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés --> cliques sur Supprimer la sélection --> a faire
S’il t’ es demandé de redémarrer, cliques sur Yes

poste le rapport

Dr_Revolte · Février 15, 2009, 8:55

problème est qu’il veut pas démarrer en sans échec je démarre en mode sans échec ! je sélectionne mon compte il me dit un texte je dit oui : l’ordi redémarre, ou quand je commence a le lire il re-dérmarre quand même

Donc la j’ai fait un recherche sans le mode échec j’ai 6 élément infecté ! et j’avais couper internet via zome alarm

et la au total 83 tentative bloqué ! (le scan fini sa recher, je fais ccleaer et je fait une analyse avec hijackthis et je le post ici)

Dr_Revolte · Février 15, 2009, 10:00

sa persiste !

Mon entrée/sortie monte toujours (98 tentative bloqué)

alors que j’ai supprimé 8 fichier infecté avec lanti spam

et voila pour le log de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:37, on 15/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
D:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\Program Files\Google\Update\GoogleUpdate.exe
D:\WINDOWS\system32\PnkBstrB.exe
D:\WINDOWS\system32\PSIService.exe
D:\WINDOWS\system32\Pen_Tablet.exe
D:\WINDOWS\system32\SearchIndexer.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
D:\WINDOWS\system32\Pen_Tablet.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Canal\Canal Widget\Canal Widget.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\DNA\btdna.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Windows Desktop Search\WindowsSearch.exe
D:\Program Files\OpenOffice.org 3\program\soffice.exe
D:\Program Files\OpenOffice.org 3\program\soffice.bin
D:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - D:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [SkyTel] SkyTel.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [ZoneAlarm Client] “D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKLM…\Run: [iTunesHelper] “D:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [avgnt] “D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Canal Widget] “C:\Program Files\Canal\Canal Widget\Launcher.exe”
O4 - HKLM…\Run: [AdobeCS4ServiceManager] “D:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe” -launchedbylogin
O4 - HKLM…\Run: [SunJavaUpdateSched] “D:\Program Files\Java\jre6\bin\jusched.exe”
O4 - HKLM…\Run: [QuickTime Task] “D:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [msnmsgr] “D:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background
O4 - HKCU…\Run: [BitTorrent DNA] “D:\Program Files\DNA\btdna.exe”
O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Startup: OpenOffice.org 3.0.lnk = D:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Windows Search.lnk = D:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - D:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra ‘Tools’ menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - D:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra ‘Tools’ menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - dlm.tools.akamai.com…
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal\Canal Widget\VOD\CanalPlus.VOD.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c96c0c7a710c6a) (gupdate1c96c0c7a710c6a) - Google Inc. - D:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - D:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - D:\WINDOWS\system32\PSIService.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - D:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

–
End of file - 9624 bytes
Edité le 15/02/2009 à 22:02

_KL3R · Février 15, 2009, 11:06

Salut Dr.Revolte, si tu ne sais pas démarrer en mode sans échec (réessaie une fois si tu sais), voici quelques étapes à suivre pour supprimer une bonne partie des infections…

Supprime les traces (cookies, historique,…) dans tous tes navigateurs (IE, FF, Opera, …) via “effacer mes traces” & co.
Lance le nettoyeur de disques intégré à Windows (Démarrer, tous les programmes, accessoires, outils système), rend toi dans l’onglet “autres options” et nettoie “tous les points de restauration à l’exception du plus récent”, ensuite nettoie le disque en cochant tout et en cliquant sur ok.

Télécharge et installe Ccleaner
Lance Ccleaner, coche tout, lance le Nettoyeur, supprime tout ainsi qu’un coup dans la partie Registre de Ccleaner. Fait le plusieurs fois pour qu’il te nettoie bien tout et qu’il n’y ait plus rien.

Redémarre… Lance une analyse avec Antivir que tu mettras à jour avant et configure l’analyse au maximum (active le mode expert dans configuration et dans la partie scanner, règle l’heursitique en élevé, scanner tous les fichiers, coche la recherche de rootkits, décocher “ignorer les fichiers hors ligne”, coche pour analyser toutes les archives, règle le scanner en priorité élevé, ne limite pas la profondeur de récursivité, bref tout pour que l’analyse soit au maximum de ses possibilités). Et règle la réaction face au menace de cette manière “supprimer” en premier choix.

Ensuite, met à jour Malwarebytes Antimalware, fait un scan COMPLET et supprime tout ce qu’il trouve.

Redémarre. Normalement ça ira déjà mieux. Tu pourras essayer de redémarrer en mode sans échec et refaire un scan approfondi.
Edité le 15/02/2009 à 23:09

Dr_Revolte · Février 16, 2009, 3:07

oki merci sa a l’air oki ! on verra demain vers 14/15h si sa revient car la il est 3h est ma connexion est oki ! ainsi que mon ping

en tout cas merci pour tout

Bizarre une de mes sauvegarde de bdd de mon site avait été détecté comme étant dangereux et un virus dedans !

Dr_Revolte · Février 17, 2009, 5:10

je crois que j’ai toujours le virus, m’ont ordi lag bien et la je suis a 2510 tentative de connexion et chaque seconde j’en est 1/2 de supplémentaires!

Gr, il lâche pas!

alain77310_1_1 · Février 17, 2009, 6:06

dans ton log

D:\Program Files\DNA\btdna.exe C’est un processus de l’application BitTorrent. Tu peux le supprimer.

et ça

O4 - HKCU…\Run: [BitTorrent DNA] “D:\Program Files\DNA\btdna.exe”
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - dlm.tools.akamai.com…

ça devrai allez mieux

Dr_Revolte · Février 17, 2009, 7:32

les 2 supprimé a part celui la O4 - HKCU…\Run: [BitTorrent DNA] “D:\Program Files\DNA\btdna.exe”

je ne l’ai plus trouvé !

alain77310_1_1 · Février 17, 2009, 9:53

oui et ça donne quoi ?

Dr_Revolte · Février 21, 2009, 12:21

bof la toujours des intrusions je suis a 3080 dont 7 dangereux !

sinon mon ping a bien réduit ! mais toujours un peu élevée !