[LOGICIEL] win32:trojan-gen

berengere · le 22 août 2007

Bonjour,

Je n'arrive pas a me debarrasser de win32:trojan-gen. Je vous envoie un rapport Hijackthis , car je ne sais plus quoi faire. Avast arrive a me le detecter je le supprime mais l revient toujours. Merci pour votre aide.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:39:41, on 22/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\program files\fichiers communs\installshield\updateservice\issch.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\arservice.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\ezNTSvc.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

c:\windows\system\hpsysdrv.exe

C:\Documents and Settings\HP_Administrateur\Mes documents\dossier important\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://skyblog.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\ezShellStart.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE

O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "c:\program files\fichiers communs\installshield\updateservice\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] "C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" /nosplash

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')

O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: EasyBits Magic Desktop Services for Windows NT (ezntsvc) - EasyBits Software Corp. - C:\WINDOWS\system32\ezNTSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--

End of file - 9399 bytes

snooky · le 22 août 2007

Salut ,

faux positif sans doute ... que dit le rapport Avast ?

Où est situé de " trojan " ?

etc ...

berengere · le 22 août 2007

Bonjour,

Voila ce que j'ai trouve dans le visualiseur de journaux d'avast:

" C:\RECYCLER\S-1-5-21-2382028046-3773935031-1007\Dc3"file

http://www.spyware-secure.com/patch.php?fi...ums=N048FRH8Z-F]http://www.spyware-secure.com/patch.php?fi...ums=N048FRH8Z-F

C:\Documents and settings\HP_Administration\local Settings\application Data\mozilla\forefox\profiles\78gdxdxr.defauld\cache\87796A8Cd01"file

C:\DOCUME~1\HP_ADM~1\LOCALS~1\temp\9re4q61p.exe

C:\DOCUME~1\HP_ADM~1\LOCALS~1\temp_r3i5zhgi.exe

Merci pour ton aide

snooky · le 22 août 2007

Passe Clean 2.0 by FRUiT , procédure 1 de préférence .

Redémarre le pc .

Passe SmitfraudFix , option 2 en mode sans échec .

Probléme résolu :francais:

berengere · le 22 août 2007

Excuse moi mais je ne comprend pas. Est ce qu'il faut cliquer sur le premier ou sur miroir pour telecharger clean. Je ne comprends pas la manipulation pour placer clean.cdm a la racine du disque. Je te demande pardon mais je suis novice. Peux tu m'expliquer le processus. Merci

snooky · le 22 août 2007

Clique sur Clean 2.0 by FRUiT dans ma signature .

Procédure 1 , est expliquée ... si tu n'y arrives pas , applique la procédure 2 .

kool56 · le 22 août 2007

Tutoriel SmitFraudFix

==> http://www.zebulon.fr/dossiers/66-smitfraudfix.html

==> http://www.pcentraide.com/index.php?showtopic=15045

berengere · le 22 août 2007

Tu est sur que sa ne risque rien avec clean. Car j'ai lu qu'il avait un risque que sa enleve des cle importante. Tu peux me dire que je suis parano mais un pc coute bien assez cher et c'est pour cela que je ne veux pas faire de betise. Qu'est ce que cela peut faire win32: trojan-gen a la longue sur un pc. Merci pour ton aide.

Brave Heart · le 22 août 2007

Bonjour,
Je n'arrive pas a me debarrasser de win32:trojan-gen. Je vous envoie un rapport Hijackthis , car je ne sais plus quoi faire. Avast arrive a me le detecter je le supprime mais l revient toujours. Merci pour votre aide.

Bonsoir,

Première chose à faire dans ces cas-là, désactivation de la restauration, reboot et réactivation de la restauration.

snooky · le 23 août 2007

Tu est sur que sa ne risque rien avec clean. Car j'ai lu qu'il avait un risque que sa enleve des cle importante. Tu peux me dire que je suis parano mais un pc coute bien assez cher et c'est pour cela que je ne veux pas faire de betise. Qu'est ce que cela peut faire win32: trojan-gen a la longue sur un pc. Merci pour ton aide.

Tu peux y aller tranquille .

berengere · le 24 août 2007

Bonjour,

J'ai fait ce que tu m'a dit mais j'ai toujours le meme probleme. quand je vais sur internet, j'ai pc infecter toujours par win32:trojan-gen. J'ai regarder dans le journal avast. Sa me mais qu'il se trouve dans: C:\Documents and settings\HP_Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\78gbxdr.default\cache\4447443CD01

A moins que j'ai pas bien fait les manipulations que tu m'a dit de faire. Je ne vois pourquoi j'ai toujours cette saleté. Merci si tu peux m'aider. Pardon pour mon retard, mais j'ai eu un probleme de connexion.

snooky · le 24 août 2007

Vide le cache Firefox !

Fait ceci : http://www.informatruc.com/afficher_fichiers_caches.php puis va ici C:\Documents and settings\HP_Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\78gbxdr.default\cache et supprime tout ce qu'il y a dans le dossier Cache :

Scan et poste le rapport avec Ewido micro scan dans ma signature .

berengere · le 24 août 2007

Vide le cache Firefox !
Fait ceci : http://www.informatruc.com/afficher_fichiers_caches.php puis va ici C:\Documents and settings\HP_Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\78gbxdr.default\cache et supprime tout ce qu'il y a dans le dossier Cache :

Scan et poste le rapport avec Ewido micro scan dans ma signature .

Voici mon rapport ewido:

trackingcookie.207 C:\documents and setting\hp_administrateur\cookies\hp_administrateur@207[2].txt Medium

trackingcookie.weborama C:\documents and setting\hp_administrateur\cookies\hp_administrateur@wborama[2].txt medium

trackingcookie.imrworldwide :mozilla.152.F:\documents and setting\proprietaire\application data\mozilla\firefox\profiles\2irexh16.default\c.... medium

" " " " " " " " " .153.f " " " " " " " " " " " " " " trackingcookie.webtrends :mozilla.169.F:\documents and settings\proprietaire\application data\mozilla\firefox\profiles\2irexh16.default\c... medium

trackingcookie.imrworldwide :mozilla.183.F " " " " " " " " " " " " "

" " " " 184 " " " " " " " " " " " " " "

trackingcookie.webtrends " 197.F " " " " " " " " " " " " "

Je m'excuse mais je n'ai pas pu faire un copier coller. Je n'ais pas redemarrer mon pc donc je ne sais pas ci il est encore là. Je vais essayer. A toute. merci pour ton aide

maxi_jac · le 24 août 2007

C'est pas que tu aurais pour habitude d'aller souvent sur un site qui te placerait des fichiers reconnus comme virus dans le cache ?

++ B.

berengere · le 24 août 2007

De retour;

Apparement ce n'ais pas revenu. Mais quand je redemarre j'ai toujour a l'ecran windows installer: sonic update manager Mais il ne peut pas le faire car il me dit: le composant que vous essayer d'utiliser se trouve sur une ressource reseau non disponible. Je ne sais pas quoi faire. Si tu pouvais m'aider . Enfin merci beaucoup pour ton aide. J'espere que sa ne reviendras pas. Encore merci

maxi_jac · le 24 août 2007

C'est un truc au démarrage ? Tu veux qu'il se mettent à jour ou juste le virer ?

++ B.

snooky · le 24 août 2007

Poste un nouveau rapport Hijackthis .

berengere · le 24 août 2007

Je veux le virer. Mais j'ai encore le meme probleme(win32) qui est encore là. Voici mon rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:21:55, on 24/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\program files\fichiers communs\installshield\updateservice\issch.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Windows Defender\MSASCui.exe