Bonjour à tous    
 
J'ai un souci et je m'en remets à vous car je n'arrive pas à m'en tirer seul
 
Config :
OS : Windows XP pro SP1
Antivirus : Norton 2002
Antispyware : ad-aware
Antitrojan : a-squared
 
Symptomes :
J'ai depuis quelques semaines un "truc" reconnu comme un trojan par mon antivirus Norton 2002, voici un extrait du log  :

 
Des fenetres de l'antivirus s'ouvrent au démarrage pour me le signaler, une nouvelle à chaque fois que je clique sur "ok". J'ai lancé, sans succès, des nettoyages avec "ad-aware", "a-squared" et Norton antivirus. J'utilise également Kerio 4.0 comme pare-feu. Le seul moyen que j'ai trouvé pour pouvoir utiliser mon ordianteur quand même est de revenir à un point de restauration antérieur, cela fonctionne mais le problème réapparait inévitablement.
 
Informations trouvées :
J'ai trouvé ce sujet, mais je suis incapable d'en utiliser les informations : http://forums.spywareinfo.com/inde [...] 80130&st=0
Je n'ai rien trouvé sur HFR, je m'excuse par avance si ce problème a déja été traité, uaquel cas je vous serais reconnaissant de m'indiquer le thread    
 
J'ai ensuite utilisé Hijackthis après avoir fait divers nettoyages de traces pour alleger le log. Le voici :
 
Logfile of HijackThis v1.99.1
Scan saved at 17:25:04, on 31/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Star Downloader\stardown.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Radio Fr Solo\Radio_Fr_Solo.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Program Files\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27da2b [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0242678644
O20 - AppInit_DLLs: C:\WINDOWS\System32\svchjt.dll
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
 
Je reste en ligne, merci d'avance à tous ceux qui se pencheront sur mon problème  

Personne ?  

Si personne n'a pu te dépanner avant cette nuit, je me chargerai personnellement de ton infection...
 
Merci pour ta confiance en ce forum !
 
                                                                               

Bonsoir Konovalov,
 
 
/*\ Laisse-moi tout d'abord te remercier pour ta patience...
 
 
* Suis scrupuleusement cette procédure. Si tu as des questions, surtout, n'hésite pas à les poser ;                                                                   nous sommes là pour t'aider *
 
 
1) Crée un point de restauration du système : http://www.vulgarisation-informati [...] ration.php
 
 
2) Télécharge les programmes suivants (mets-le sur ton bureau) :
 
        * Cleanup de Steven Gould : http://www.stevengould.org/downloa [...] nUp452.exe
 
        * RegCleaner de Jouni Vuorio: http://pierre.szwarc.free.fr/Files/RegCleaner.exe
 
 
3) Redémarre ta machine en mode sans échec sur ta session : http://service1.symantec.com/suppo [...] 5112131924
 
 
4) Relance HijackThis et coche les lignes suivantes :
 
 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe  
 
O15 - Trusted Zone: *.energy-factor.com  
 
O15 - Trusted Zone: *.hardcorefantasyland.com  
 
O15 - Trusted Zone: *.hardfootballbabes.com  
 
O20 - AppInit_DLLs: C:\WINDOWS\System32\svchjt.dll    
[Cette ligne reviendra peut-être, nous appliquerons des techniques plus puissantes si elle résiste]
 
 
                                                          ------> Clique ensuite sur "Fix Checked"
 
 
5) Lance alors un scan complet avec "Norton" et supprime (ou mets en quarantaine) tout ce qu'il trouve...
 
 
5) Toujours en mode sans échec, installe et exécute "Cleanup"
 
 
6) Lance le programme et clique sur "Cleanup", puis sur "NON" pour rendre le nettoyage effectif
 
 
7) Redémarre l'ordinateur en mode normal
 
 
8) Ouvre le fichier suivant avec le bloc-note : C:\WINDOWS\system32\drivers\etc
 
                                      ---> Copie-colle son contenu sur ce forum
 
 
9) Copie-colle dans le bloc-note les lignes suivantes (après "citation" ):
 

 
                                      ---> Enregistre le fichier en tant que FixHost.reg (type = tous les fichiers)
 
                                      ---> Double-clique sur le fichier et accepte les modifications du registre
 
 
 
10) Reposte ici un log HijackThis...
 
 
       /*\ Comment se porte ton ordinateur ?
       /*\ As-tu encore des problèmes ?
 
 
                                             ------> Laisse-moi à nouveau te remercier pour ta confiance en ce forum...
 
   Bonne chance et bonne journée à toi !

Bonjour Cleandows, c'est moi qui te remercie de m'aider et qui m'excuse d'avoir été long à répondre    
J'ai mis ce que me renvoie l'ordinateur en bleu pour le distinguer, mais si cela te dérange dis le moi
 

Fait
 

C'est fait. Hijackthis m'a renvoyé le message suivant :
 
An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: C:\WINDOWS\System32\svchjt.dll)
Error #5 - Invalid procedure call or argument
 
Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible
 
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1
 
This message has been copied to your clipboard.
Click OK to continue the rest of the scan.
 

Norton n'a rien trouvé, voici le rapport :
 
Date: 01/08/2006, Time: 13:29:26, Athlon on ATHLON1800
Virus scanning completed.
Master boot records:
 Scanned:  2
 Infected:  0
 Repaired:  0
Boot records:
 Scanned:  4
 Infected:  0
 Repaired:  0
Files:
 Scanned:  129452
 Infected:  0
 Repaired:  0
 Quar'ed:  0
 Deleted:  0
 

Fait
 

Je n'ai pas pu ouvrir cela en tant que fichier avec le bloc-notes, ça ressemble à un repertoire dont voici le contenu :
hosts
lmhosts.sam
networks
protocol
services
J'ai dû manquer quelque chose...
 
 

Je n'ai pas réussi à compléter ce point, j'ai eu le message d'erreur suivant :
Impossible d'importer c:\DOCUME~1\Athlon\Bureau\FixHost.reg : le fichier spécifié n'est pas un script du registre. Vous pouvez uniquement importer des fichiers du registres binaires à partir de l'éditeur du registre.
 
J'ai alors pris l'initiative de tenter de l'importer via regedit.exe, j'ai obtenu ce nouveau message d'erreur :
Impossible d'importer c:\Documents and settings\Athlon\Bureau\FixHost.reg : la clé est non valide

Voici le log :
 
Logfile of HijackThis v1.99.1
Scan saved at 13:46:35, on 01/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27da2b [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0242678644
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
 
 
 
       

Je n'ai pas eu de message de norton en demarrant ce matin (avant de commencer le nettoyage), ni aucun ensuite. Ceci dit, il s'est parfois passé plusieurs jours avant que le problème réapparaisse après une restauration du système. Pourrais tu s'il te plait m'éclairer sur les points 8 et 9 de la procédure afin que je puisse la compléter ?
 
                                             

C'est moi qui te remercie de donner de ton temps pour aider les autres
J'ai mis le sujet en alerte email, donc pas de souci, même si je suis un peu long je reviens forcément répondre  

Bonjour Konovalov,
 
1) Le texte du registre doit contenir les lignes suivantes (oubli de ma part):
 

 
 
2) Le fichier à ouvrir avec le bloc-note est le fichier HOSTS : C:\WINDOWS\system32\drivers\etc\hosts
 
 
 
----> Ton log HijackThis est propre mais ton ordinateur n'est pas à jour* !!!
 
 
- Pour terminer le travail, tu peux installer et exécuter "RegCleaner" :
 
 
                     * Clique ensuite sur "Tools" et choisis l'option "Registry Cleanup"
 
                     * Valide ensuite "Automatic Registry Cleaner"
 
                     * Quand la recherche est terminée, clique sur "Select" (ALL) et valide "Remove Selected"
 
 
- Si tu rencontres encore des problèmes avec ta machine, préviens-nous...
 
 
Sinon, tu peux éditer le titre de ton topic et y ajouter la mention "Résolu" !
 
 
                                            Passe une excellente fin d'après-midi !!!
 
 
* Un ordinateur qui n'est pas à jour est beaucoup plus vulnérable aux attaques... Tes problèmes risquent de revenir*

C'est fait et cela a fonctionné    
 
 

Voici le contenu :
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
#      102.54.94.97     rhino.acme.com          # serveur source
#       38.25.63.10     x.acme.com              # hôte client x
 
127.0.0.1       localhost
127.0.0.1 WWW.SPYNET.COM
127.0.0.1 SERVICE.SPYNET.COM
127.0.0.1 UPDATE.MICROSOFT.COM
127.0.0.1 C.MICROSOFT.COM
127.0.0.1 PLUG.ADVCASH.BIZ
127.0.0.1 WWW.ARCHIVIOSEX.NET
127.0.0.1 WWW.REDFUNNY.COM
127.0.0.1 WWW.SKYMASTERS.BIZ
127.0.0.1 200.73.174.154 STORAGE.HOSTANCE.COM
127.0.0.1 200.73.174.154 STORAGE-TASP.COM
 
Il reste des choses à nettoyer là, non ?    
 

J'ai fait le nettoyage avec regcleaner. Pour les MAJ, on m'a déconseillé d'installer le SP2 de XP, je vais creuser de ce côté là. J'attends ta réponse pour le fichier hosts avant d'éditer le titre  

Re-Konovalov,
 
 
1) Ré-édite le fichier HOSTS et supprime les lignes suivantes :
 

 
 
2) Pour les mises à jour, tu prends un risque en ne les appliquant pas, mais également si tu les installes (risque de plantages, bugs, ...) ... à toi de voir !
 
 
Bien à toi,

Re- Cleandows    
 
J'ai terminé et je vais redemmarrer.
Merci infiniment pour ton efficacité, ta gentillesse et ta patience    
 
A bientôt  

Ce fut un plaisir... Je te souhaite plein de bonheurs... et aucun malheur !