[LOGICIEL] win32:trojan-gen

[berengere]

Bonjour,

j'ai fait ce que tu m'as dit. Apparement pour l'instant sa ne revient pas. Peux tu me dire dout sa vient une attaque generique et est ce qu'on peut ce protege de cette attaque. Je te remercie pour ton aide. Peux tu me dire si je doit desinstaller avast pour antivir, j'ai lu que le 2e on etait mieux proteger. Mais le probleme c'est que je ne parle pas anglais. Existe t'il un tuto pour m'expliquer la bonne marche d'antivir. Encore merci pour ton aide tres precieuse;

[snooky]

Installe AVS , signatures Kaspersky , français ... etc

Vise ma signature ou là pour télécharger AVS : http://88.163.12.27/

Il faut impérativement installer un fichier Hosts qui protége des sites dansgereux .

Vise ma signature .

[berengere]

Installe AVS , signatures Kaspersky , français ... etc

Vise ma signature ou là pour télécharger AVS : http://88.163.12.27/

Il faut impérativement installer un fichier Hosts qui protége des sites dansgereux .

Vise ma signature .

Voilà ce que sa me met:

Alerte anti-virus :

Votre système subit l’intrusion d’un logiciel espion (spyware).

Votre anti-virus ne protège pas votre ordinateur contre ce type de menace.

Si vous n’installez pas un anti-spyware maintenant, Windows va être arrêté afin de prévenir tout dommage sur votre ordinateur.

Statuts erreur : 0x000000F

Windows a détecté des programmes qui peuvent compromettre votre confidentialité ou endommager votre ordinateur.Définitions des niveaux d’alerte

Vos données personnelles peuvent actuellement être altérées ou volées :

1. Fichiers textes

2. Images photos

3. Données confidentielles entrées sur des sites Internet (adresse email, mots de passe, numéro de carte de crédit…).

Afin d’éviter toute perte de données, il est conseillé d’installer un logiciel anti-spyware

et d’analyser votre ordinateur à la recherche de spywares et adwares.

Analysez gratuitement votre ordinateur (recommandé).

AVS est un antivirus. Je ne peux pas avoir 2 antivirus. C'est quoi un fichier hots.

[snooky]

Il faut bien évidemment désinstaller ton antivirus actuel !

Pour Hosts , il suffit de lire un peu le lien de ma signature .

[berengere]

Je trouve que la manipulation pour le fichier hots est un peut dure a executer. Mais si je supprime les adresses ou il y a antyspuware est ce que sa resoudras mon probleme; pardon mais je suis novice;

[snooky]

Il y a juste à dézipper Hosts.zip sur ton bureau , cliquer sur Mvps.bat et valider l'installation du nouveau fichier Hosts en appuyant sur n'importe quelle touche de ton clavier !

Qu'y a-t'il de difficile là-dedans ? .... explique moi un peu ça ...

[berengere]

Excuse moi mais en vu de la lecture sa me paresser plus difficile. je sais je suis nul en informatique et je m'excuse encore. Je te recontacterais demain car je pars et je te dirais sa. Encore pardon et merci pour ta patience et ton indulgence.

[berengere]

Bonsoir,

J'ai bien compris qu'il fallait que je telecharge le fichiers hots, je le dezipp et je clis sur mvps.bat puis je valide en appuyant sur n'importe quelle touche; Mais avant je dois desactive dans services.msc, le service client DNS. La je suis bien.Apres quand le fichiers est telecharger (hots), j'ai lu qu'il fallait mettre des adresses mais là je ne sais pas comment faire. Peux tu m'explique avec detaille que dois je faire apres le telechargement du fichier hots. Que devient l'autre fichier hots de windows. Excuse moi pour mon retard. Merci pour ton aide.

[snooky]

Il y a juste à désactiver le service DNS , puis dézipper Hosts.zip sur ton bureau , cliquer sur Mvps.bat et valider l'installation du nouveau fichier Hosts en appuyant sur n'importe quelle touche de ton clavier !

Rien d'autre à faire , basta !

[berengere]

Bonsoir,

J'ai fait ce que tu m'a dit. Quand je me suis connecter, j'ai eu comme message qu'il ne pouvait pas se connecte au site spyware-secure. Sa marche. Je pense que tous les site douteux doit etre bloquer. L'autre hots je m'en occupe pas (celui de windows). Encore merci beaucoup pour ta patience. Heureusement qu'il des personnes comme toi, qui nous aide, nous, les novices. Je te souhaite une bonne soirée. Bien respectueusement

[snooky]

j'ai eu comme message qu'il ne pouvait pas se connecte au site spyware-secure.

Message de qui ???

Relance SmitrfaudFix en mode sans échec , option 1 et poste le rapport créé .

[berengere]

j'ai eu comme message qu'il ne pouvait pas se connecte au site spyware-secure.

Message de qui ???

Relance SmitrfaudFix en mode sans échec , option 1 et poste le rapport créé .

Comme quoi le serveur ne pouvais pas trouver la page web. Je ne peut pas faire un smitrfaudix ce soir . Mais je te reconctate demain. Dis moi comment peut on eviter que des pub s'ouvre souvent. Pourtant j'ai cocher bloquer les fentres popup. Merci pour ton aide.

[snooky]

j'ai eu comme message qu'il ne pouvait pas se connecte au site spyware-secure.

Message de qui ??? IE6 ? Firefox ? Windows ? ????

Fait un screen ( capture d'écran ) de ces pop up !!!!

Ce sont des pubs ou l'infection Smitrfaud qui est encore présente sur ton pc ???

[berengere]

j'ai eu comme message qu'il ne pouvait pas se connecte au site spyware-secure.

Message de qui ??? IE6 ? Firefox ? Windows ? ????

Fait un screen ( capture d'écran ) de ces pop up !!!!

Ce sont des pubs ou l'infection Smitrfaud qui est encore présente sur ton pc ???

voila ce que sa me met:

La connexion a échoué Firefox ne peut établir de connexion avec le serveur à l'adresse www.spyware-secure.com. * Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus tard ; * Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion au réseau de votre ordinateur ; * Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy, assurez-vous que Firefox a l'autorisation d'accéder au Web.

Ce sont des pub ou des pub pour des site porno ou 3 suisses etc...

[snooky]

Ce n'est pas toi qui veux te connecter à ce site ... , ou bien ?

L'infection est donc encore présente sur ton pc , non ? ... tu ne penses pas ?

EDIT:

En fait , comme tu ne suis pas les recommandations ... je viens de me rendre compte que tu n'a jamais passé SmitrfaudFix !!!

:arrow:Désinstalle Avast !!!

Passe SmitfraudFix en mode sans échec , choisis l'option 2 .

Poste le rapport créé par Smitfraudfix .

[berengere]

Bonjour,

Si j'ai suivi tes recommandations. J'ai passe smitrfaudfix au debut comme tu me l'avais demande. Voici le rapport comme preuve tu verras que la date correspond au debut de notre discusion.

SmitFraudFix v2.215

Rapport fait à 7:55:55,87, 24/08/2007

Executé à partir de C:\Documents and Settings\HP_Administrateur\Mes documents\Documents telecharger\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 mpa.one.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_ADM~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0BE89AAF-9D64-4B7C-B6E2-1F388F7D209A}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: DhcpNameServer=16.92.3.242 16.92.3.243 16.81.3.243 16.118.3.243

HKLM\SYSTEM\CS1\Services\Tcpip\..\{0BE89AAF-9D64-4B7C-B6E2-1F388F7D209A}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: DhcpNameServer=16.92.3.242 16.92.3.243 16.81.3.243 16.118.3.243

HKLM\SYSTEM\CS3\Services\Tcpip\..\{0BE89AAF-9D64-4B7C-B6E2-1F388F7D209A}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS3\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: DhcpNameServer=16.92.3.242 16.92.3.243 16.81.3.243 16.118.3.243

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Par contre je n'ais pas eu le temps de le refaire. Meme si je novice? je te fait confiance et je suis toujours tes recommandations meme si je te demande plus d'explication.

Pourquoi je doit desinstaller avast avant de passer smitrfaudfix. Merci pour ton aide.

[snooky]

Même chose , mais prends l'option 2 , puis relance SmitfraudFix et prends l'option 3 .

Poste ce dernier rapport .

[berengere]

Je te passe un nouveau rapport de smitrfaudfix ce soir.

[snooky]

Désinstalle Avast parce qu'il ne vaut rien , tout simplement !

N'installe rien d'autre pour le moment.

[berengere]

Même chose , mais prends l'option 2 , puis relance SmitfraudFix et prends l'option 3 .

Poste ce dernier rapport .

Je prends l'option 2 en mode sans echec puis je redemarre l'ordi en mode normale puis je redemarre en mode sans echec en option 3 ou je relance aussitot options 3. Merci pour ton aide

[snooky]

Redémarre le pc en mode sans échec .

Lance SmitfraudFix et applique les options 2 ET 3 .

[berengere]

[snooky]

Réinstalle le fichier Hosts :

http://www.pcinpact.com/forum/index.php?s=...t&p=1933361

Poste un rapport Hijackthis .

Quel problème as-tu maintenant ?

[berengere]

Voila le rapport hijackthis apres installation de hots :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:40:45, on 31/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\arservice.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Documents and Settings\HP_Administrateur\Mes documents\dossier important\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')

O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

--

End of file - 4885 bytes

[snooky]

Désinstalle Avast via Ajout supp des programmes .!!!

Passe ensuite ce remover Avast : http://files.avast.com/files/eng/aswclear.exe

Installe AVS :

http://www.pcinpact.com/forum/index.php?s=...t&p=1931529