trojan-gen et adware flashenhancer sur mon pc!

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

trojan-gen et adware flashenhancer sur mon pc!

Messagede ricoPC » 29 Juil 2005, 18:11

bonsoir!
Avast me trouve sur ma machine trojan-gen et adware flashenhancer (sans pouvoir les mettre en quarantaine ni les supprimer! :cry: ).Cela me fait planter mon ordinateur une fois sur deux. j'ai fait toutes les analyses possibles en mode sans echec (spybot,A2,ad aware etc...).Aucun résultat.....voici mon rapport hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:04:45, on 29/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2625443536
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateu ... Helper.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

pouvez vous m'aider??????? merci d'avance!!!!!!! :D
ricoPC
 
Messages: 11
Inscription: 29 Juil 2005, 15:51

Messagede nickW » 29 Juil 2005, 20:35

Bonsoir,

Rien de "méchant" visible dans ton log.

Une page sur flashenhancer:
http://securityresponse.symantec.com/av ... ancer.html
Pourrais-tu vérifier si les fichiers et dossiers mentionnés aux paragraphes 1 et 2 existent sur ton PC?

Analyse de ton log:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Sont dans ce cas:
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe--->lire attentivement la liste de Pacman
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe--->lui préférer Adobe Reader SpeedUp 1.32

Note importante sur la mise en œuvre de cette correction ("Fix") via HijackThis (cocher la case devant l'élément puis cliquer sur Fix Checked):
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI, ou Ccleaner, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- Ici doit se placer l'utilisation de HijackThis
-**- après exécution de HijackThis, vider la corbeille, le cache d'IE et les fichiers temporaires.

Puis redémarrer l'ordinateur en mode normal.


Penser à réactiver la restauration système (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ricoPC » 30 Juil 2005, 08:14

Avant de faire toute la procédure,il se trouve que les deux fichiers des paragraphes 1 et 2 du site internet de symantec sont infectés par adware flash enhancer!Les voici:
- c:\program files\flen\f bak
- c:\common files\java\ftkcpy.cfg
ricoPC
 
Messages: 11
Inscription: 29 Juil 2005, 15:51

Messagede nickW » 30 Juil 2005, 11:47

Bonjour, (il n'est pas interdit d'être poli)

La procédure selon Symantec:

Étape 1:
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2:
Rechercher sur ta machine le fichier XML.dll
Noter son chemin d'accès complet


Étape 3:
Désenregistrer une DLL, puis la renommer:

Démarrer--->Exécuter--->taper
regsvr32.exe -u chemin d'accès complet\XML.dll
puis cliquer sur OK
Renommer le fichier chemin d'accès complet\XML.dll en XML.dll.non


Étape 4:
Éxécuter un scan antivirus complet.


Étape 5:
Renommer les fichiers suivants s'ils existent (en ajoutant .non derrière leur extension):

C:\Program Files\Common Files\Java\flnclean.exe en flnclean.exe.non
C:\Program Files\Common Files\Java\flncpy.exe
C:\Program Files\Common Files\Java\ftkclean.exe
C:\Program Files\Common Files\Java\ftkcpy.cfg
C:\Program Files\Common Files\Java\ftkcpy.exe
C:\Program Files\Fichiers communs\Java\flnclean.exe
C:\Program Files\Fichiers communs\Java\flncpy.exe
C:\Program Files\Fichiers communs\Java\ftkclean.exe
C:\Program Files\Fichiers communs\Java\ftkcpy.cfg
C:\Program Files\Fichiers communs\Java\ftkcpy.exe
C:\Windows\Temp\ft30s.exe


Étape 6:
Renommer les dossiers suivants s'ils existent (en ajoutant .non derrière leur nom):

C:\Program Files\Xml en Xml.non
C:\Program Files\Fen
C:\Program Files\Fla
C:\Program Files\Flcp
C:\Program Files\Flen
C:\Program Files\Fln
C:\Program Files\Flt
C:\Program Files\Ftk
C:\Program Files\Reg2
C:\Program Files\Xmod

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ricoPC » 30 Juil 2005, 15:34

Bonjour! (mea culpa pour la réponse précédente, un peu pressé :wink: )..c'est vraiment sympa de m'aider, très sérieux!

Je viens de refaire un scan en ligne sur le site de symantec et il ne me trouve plus que deux fichiers infectés par adware flashenhancer:
- c:\program files\flean\fbak
- c:\program files\common files\java\fleancpy.cfg

Par contre plus aucune nouvelle du cheval de troie trojan-gen (peut-être supprimé par la réinstallation compête du windows xp réalisé hier matin...).J'ai fait un scan avec avast,norton et trend micro....plus rien!
J'ai fait une recherche du fichier XML.dll sur ma machine et je ne l'ai pas trouvé (en faisant démarrer,rechercher fichiers,etc....).
Que dois-je donc faire pour le retrouver?Ca ne m'a pas l'air bien difficile à résoudre ce problème de adware.....

Merci encore!!!!!!!!! :)
ricoPC
 
Messages: 11
Inscription: 29 Juil 2005, 15:51

Messagede ricoPC » 30 Juil 2005, 15:41

excusez-moi une précision...

Je viens de trouver un fichier au nom de msxml.dll dans c:\windows\system32 et un fichier caché c:\windows\system32\dllcache
serait-il celui là??????
ricoPC
 
Messages: 11
Inscription: 29 Juil 2005, 15:51

Messagede nickW » 30 Juil 2005, 16:03

Re-bonjour,

Non!

msxml.dll est, comme son nom l'indique, un fichier Microsoft.

Si les fichiers et dossiers signalés dans mon message précédent sont présents, essaie de les renommer comme indiqué.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 31 Juil 2005, 10:01

Bonjour!

J'ai trouvé le dossier C:\Program Files\Fen sur mon ordinateur (c'est le seul de votre liste sur ma machine). Par contre je ne trouve pas le fichier XML.dll (cf vos étapes 2 et 3).....
Comment le trouver? où le trouver?????

Merci encore pour ton aide précieuse..... :)
Invité
 

Messagede nickW » 31 Juil 2005, 11:45

Bonjour,

Tu vas essayer de supprimer flashenhancer avec ewido security suite:

Étape 1:
Télécharger la version d'essai de ewido security suite depuis http://www.ewido.net/en/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido security suite. Cliquer sur mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 2:
Redémarrer en mode sans échec. voir ICI.
Fermer le plus possible de fenêtres.
Pas d'Internet Explorer ouvert.


Étape 3:
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport.

Envoyer en réponse le rapport de ce scan par ewido security suite.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 01 Aoû 2005, 09:41

Bonjour!

Voici le rapport du scan ewido security suite effectué en mode sans echec:

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 10:36:16, 01/08/2005
+ Somme de contrôle: 71D015B6

+ Résultats du scan:

C:\RECYCLER\NPROTECT\00000835.TXT -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00000841.TXT -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001053.TXT -> Spyware.Cookie.Fastclick : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001054.TXT -> Spyware.Cookie.Fastclick : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001055.TXT -> Spyware.Cookie.Fastclick : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001120.TXT -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001121.TXT -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001125.TXT -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001138.TXT -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001139.TXT -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\RECYCLER\NPROTECT\00001140.TXT -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder


::Fin du rapport


voila, à bientot!!!! :wink:
Invité
 

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 25 invités

cron