Foutu trojan qui veut pas se barrer (log HijackThis)

Foutu trojan qui veut pas se barrer (log HijackThis) - Sécurité - Windows & Software

Marsh Posté le 17-04-2005 à 18:30:35    

Bon, alors j'ai régulièrement des alertes d'Antivir au sujet de deux .exe qui se lancent : C:\Mssetup32.exe et C:\Msupdt32.exe, qu'il me dit être le trojan TR/Dldr.WinAD.D...
Je les vire à chaque fois, mais évidemment ils reviennent ; Ad-aware et Trojan Remover semblent impuissants. Sur Google, deux trois gars qui ont eu des pbs avec ça, mais personne leur a répondu (je pense que c'est une merde récente). Et ds la base de registre, rien qui ressemble aux deux .exe :/
 
Donc en désespoir de cause j'ai lancé HijackThis :
 
Logfile of HijackThis v1.99.1
Scan saved at 18:18:33, on 17/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\MSAOL32.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINNT\system32\MSAOL32.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\tools\hijackthis\HijackThis.exe
 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - Global Startup: Register Online.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe
O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D Player) - file://C:\Documents and Settings\Hae-Sung\Local Settings\Temp\IEInstall\cult.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
 
 
Y'a des trucs qui vous paraissent bizarre ? (j'ai vidé tous les réps Temp en mode sans échec, avant de lancer hijack)


Message édité par scOulOu le 17-04-2005 à 18:33:51
Reply

Marsh Posté le 17-04-2005 à 18:30:35   

Reply

Marsh Posté le 17-04-2005 à 18:38:55    

:hello:  
 
 
Ctrl/Alt/Suppr
 
Termine les processus suivants:
 
C:\WINNT\system32\MSAOL32.exe <-- les 2
 
****************************************
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".  
 
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe  
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe  
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe  
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D Player) - file://C:\Documents and Settings\Hae-Sung\Local Settings\Temp\IEInstall\cult.cab  
 
 
****************************************
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Assure-toi que tu as accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
"Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Supprime les dossiers/fichiers en gras si présents
 
C:\WINNT\system32\MSAOL32.exe
 
Toujours en mode sans echec:
 
C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier
 
(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)
 
IE > Outils > Options internet  
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".  
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.  
 
Vide la corbeille
 
Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retourne à la fenêtre <Paramètres de dossier> et sélectionne <Ne pas afficher les fichiers cachés ou les fichiers système>.
 
Reboot en mode normal et poste un nouveau log.

Reply

Marsh Posté le 17-04-2005 à 19:36:09    

Ok merci merci... Dc j'ai suivi tes instructions, et voilà les nveaux logs :
 
 
Logfile of HijackThis v1.99.1
Scan saved at 19:30:07, on 17/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\WINNT\system32\taskmgr.exe
C:\tools\hijackthis\HijackThis.exe
 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Register Online.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe
O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
 
 
Ca ne fait que qques minutes que j'ai rebooté dc c'est p-e un peu tôt pr tirer des conclusions, mais en tout cas merci encore (j'aurai au moins dégagé les msaol32.exe) :jap:

Reply

Marsh Posté le 17-04-2005 à 19:39:41    

:hello:  
 
Le log est clean
 
 :hello:

Reply

Marsh Posté le 17-04-2005 à 22:10:18    

Yep je confirme ça roule ; thx :jap:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed