forum Abc de la sécurité informatique

stacia · 09-12-2005 17:32:15

Bonjour,
J'ai besoin d'aide dans le 'combat' contre le TrojanWin32.Startpage.he, qui s'est installé dans mon ordinateur et detourne la page d'aceuil. Outre cela, ce virus ralentit le fonctionnement de l'ordinateur. J'ai beau de télécherger les programmes anti-spyware, rien aide. Anrivirus, que j'ai sur mon ordinateur (Bit defender9 Internet Security) aussi n'arrive que à détécter le virus, mais ne le supprime pas.
Finallement, j'ai appliqué le programme Hijackthis. J'ai obtenu cette liste, mais je ne sais pas quoi faire après et quels processus supprimer.
J'espère que qqn peut m'aider et conseiller quoi faire.

Merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 17:08:20, on 09/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\Program Files\Larousse\Petit Larousse 2003\bin\HiPL2002popup.exe
C:\Program Files\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\AOL\1132646455\ee\AOLHostManager.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Fichiers communs\AOL\1132646455\ee\AOLServiceHost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\AOL Compagnon\companion.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
c:\program files\fichiers communs\aol\1132646455\ee\services\antiSpywareApp\ver2_0_12\AOLSP Scheduler.exe
C:\Program Files\Fichiers communs\AOL\1132646455\ee\AOLServiceHost.exe
C:\pointsoft\lanceur.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JEAN-M~1\LOCALS~1\Temp\Rar$EX00.997\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06BCA5FA-664D-4AB5-3FB1-3FE64EDC989D} - C:\WINDOWS\System32\ltf.dll (file missing)
O2 - BHO: (no name) - {15216353-FEE4-8113-C6DE-A95F85C2DE9A} - C:\WINDOWS\System32\lmzdgr.dll (file missing)
O2 - BHO: (no name) - {48C13946-FFF1-D454-852A-A67F671DD59E} - C:\WINDOWS\System32\guo.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {62468CAE-4116-6EEF-3871-4331B3CEFFC5} - C:\WINDOWS\System32\zeexcrsd.dll (file missing)
O2 - BHO: (no name) - {73587F24-E2CE-CA68-EB3C-B7EEFEF1BD98} - C:\WINDOWS\System32\sbanpd.dll (file missing)
O2 - BHO: (no name) - {A60CB514-79F9-5151-87EA-7AA2AAA56E97} - C:\WINDOWS\System32\msxkl.dll (file missing)
O2 - BHO: (no name) - {B2F9EB23-2F91-5167-B359-2117516827CC} - C:\WINDOWS\System32\vtifry.dll (file missing)
O2 - BHO: (no name) - {BE0B4E4B-D5AF-DE79-D906-8CADAEBB21C1} - C:\WINDOWS\System32\pcdl.dll (file missing)
O2 - BHO: (no name) - {F308EC42-24A9-7424-8793-75A2AEA06E93} - C:\WINDOWS\System32\msxkl.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2003\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1132646455\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [WinHound] C:\Program Files\WinHound\WinHound.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Lanceur Pointsoft.lnk = C:\pointsoft\lanceur.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version2/Applet/vchatsign.cab
O16 - DPF: Pop Fu by pogo - http://game1.pogo.com/applet-6.2.0.37/popfu/popfu-ob-assets.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ferstel.at/fotos/360/thencc360.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - http://naupoint.com/toolbar/installer/iEBINST2.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6540685D-ABC2-4DFB-BC97-D71C5951B226} (RMXFVIEWCtlFmt Class) - http://webtv.uran.ru/rmxfvw4.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.wisup.net/albumsperso/ImageUploader3.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/popcap/zuma/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB4B22C8-7A2D-4F93-BA0C-258D47208D4F}: NameServer = 205.188.146.145
O20 - Winlogon Notify: iexplore - fdegd.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Rodolphe · 09-12-2005 19:29:33

Salut!

Déjà, tu vas commencer par désactiver ta restauration système (Clic droit sur Poste de travail > Propriétés > Restauration du système > Coche "Désactiver la restauration système"). (Tu ne la réactiveras que plus tard, quand tout sera parfaitement clean).

Ensuite tu redémarres en mode sans échec (Redémarre, appuie à répétition sur F8 dès la remise sous tension du PC, jusqu' à l' apparition d' un écran. Là choisis "Mode sans échec" avec les flèches directionnelles, et valide avec Entrée).

Dans ce mode sans échec, relance ton antivirus, et laisse-le supprimer ce qu' il trouve. S' il n' y parvient toujours pas, note le nom et l' emplacement des fichiers infectés, recherche-les sur ton disque dur, et supprime-les manuellement (Clic droit > Supprimer et vidage de la corbeille) (En ayant d' abord, pour être sûr de tout trouver, affiché les fichiers et dossiers cachés et système. Pour ce faire: Panneau de configuration > Options des dossiers > Affichage > Coche "Afficher les fichiers et dossiers cachés" et Décoche "Masquer les fichiers protégés du système d' exploitation).
À la suite de ça fais un bon nettoyage de ton disque dur.

Ensuite redémarre en mode normal (tu n' as qu' à redémarrer), et réenregistre HijackThis correctement, à savoir dans un dossier qui lui est réservé (par exemple nommé "Hijackthis") à la racine du disque dur, de manière à avoir "C:\Hijackthis\HijackThis.exe" et non pas "C:\DOCUME~1\JEAN-M~1\LOCALS~1\Temp\Rar$EX00.997\HijackThis.exe" comme c' est le cas dans ton rapport.

À la suite de tout ça tu nous repostes un beau rapport Hijackthis tout neuf, y' aura un peu de nettoyage lol.

@+

freezman92 · 10-12-2005 13:27:52

slt
tjrs aussi rapide le rodolphe lol
je passe vous faire un ptit coucou et comme d hab une speciale dedicace to rodolphe et louny
bon courage a tous
je suis tjrs sur vos traces lol en regardant ici et la certaines resolution de pb de virus
a tt

Rodolphe · 10-12-2005 15:00:16

Salut!

J'me disais aussi, "tiens j' ai l' impression qu' on m' observe!..."

freezman92 · 10-12-2005 18:33:41

lol te l ais dis une fois je suis une ombre mdrrrrr
en verité tjrs a l affut pour en savoir plus, comme personne ne veux reellement me former lol
a plus

Rodolphe · 10-12-2005 19:07:43

lol ce n' est pas parce que tu n' as pas spécialement de problème en ce moment que tu n' as pas le droit de poster une question.
Si tu as des questions, n' hésite pas à créer un topic et à les poser, il y aura bien quelqu' un pour y répondre!

freezman92 · 10-12-2005 21:36:34

dis moi rodolphe comment tu cree un topic.....stp
et puis a vrai dire le pc de ma copine a un pb en ce moment ...elle peux plus se connecter a internet ....pourtant tout semble ok
je vais le recuperer ce week dans uelle section je dois poster un message pour ce pb?????
merci a toi de ta sympathie
a charge de revanche
att

Rodolphe · 10-12-2005 23:27:59

- Eh bien clique sur "Forum" en haut de l' écran, tu verras toutes les rubriques du forum.
- Clique alors sur la rubrique qui correspond selon toi le mieux à ton problème.
- Puis clique en bas à droite de la page sur "Poster un nouveau sujet".
- Et enfin mets un titre au sujet, et écris ton message!

Dernière modification par Rodolphe (10-12-2005 23:30:08)

stacia · 12-12-2005 16:13:00

Merci beaucoup pour votre réactivité et vos conseils. J'ai fait comme vous m'avez indiqué, mais mon antivirus ne marchait pas dans le mode sans échec. j'ai essayais de supprimer les Trojans dont les emplacements je savais suite aux résulatats imprimés avant, dans le mode 'normal', mais j'ai rencontré de nouveau un obstacle: Le fichier infecté wininet.dll (C:\windows\system32\wininet.dll) est impossible à supprimer ( explication: accès refusé). Donc, en redémarrant j'ai toujours mon Trojan, qui détourne la page d'accueil. En plus maintenant, quand je lance n'importe quel antivirus, soit le miens BitDefender9, soit je scane l'ordinateur via Internet à l'aide de Symantec Security Check, soit (Avast, antispy Spybot SD, etc.), le résultat est toujours le même - aucun virus est détecté, malgré sa visible présence dans mon ordinateur. Et de nouveau je ne sais pas quoi faire dans cette situation.

Merci d'avance pour vos conseils.

laserpe · 12-12-2005 16:55:21

stacia a écrit:
Le fichier infecté wininet.dll (C:\windows\system32\wininet.dll) est impossible à supprimer ( explication: accès refusé).

tu as essayé de le supprimer manuellement en mode sans échec ? as-tu affiché les fichiers et dossiers cachés :
ouvrir l'explorateur windows > onglet "outils" > options des dossiers > onglet "affichage" > cocher la case "afficher les fichiers et dossiers cachés"

stacia a écrit:
En plus maintenant, quand je lance n'importe quel antivirus, soit le miens BitDefender9, soit je scane l'ordinateur via Internet à l'aide de Symantec Security Check

essaie avec celui-ci :

http://www.kaspersky.com/virusscanner

@+