Trojan.Qhost.R - Sécurité - Windows & Software
Marsh Posté le 06-02-2006 à 11:09:42
lazarusbf a écrit : salut |
A ba déja si il l'a bloqué c'est bon signe!
maintenant savoir si il l'a mis en 40aine....surement..
Marsh Posté le 06-02-2006 à 15:47:46
lazarusbf a écrit : mon dossier quarantaine est vide |
as tu essayé de le virer autrement par d'autres logiciels?
- ad aware, spybot et l'excellentissime A² squarred ?
Marsh Posté le 06-02-2006 à 17:48:30
adaware & spybot je les fais tourner 2x/mois, rien détecté
Marsh Posté le 06-02-2006 à 17:57:40
note que adaware bizzarement qd je scanne tout il bloque au milieu du travail depuis lors.. je dois annuler la procédure..
mouais, pas bon çà
Marsh Posté le 06-02-2006 à 18:02:54
bon spybot fait le boulot, trouve aucun mouchard mais affiche tout de même:
Erreur lors des vérifications!: Windows.RedirectedHosts (Datei C:\WINDOWS\system32\drivers\etc\hosts kann nicht geöffnet werden. Un périphérique attaché au système ne fonctionne pas correctement) ()
Marsh Posté le 06-02-2006 à 21:55:47
Bonsoir,
-Télécharge et installe HijackThis 1.99.1 version Française[url]http://telechargement.zebulon.fr/li[...]ense-1-160.html[/url]
- Lance Hijackthis clique sur le bouton scanner disque et sauvegarder le log
Notepad s'ouvrira fais un copier coller de tout son contenu ici dans une réponse.
Bonne soirée.
Marsh Posté le 07-02-2006 à 12:06:57
oui je connais hijack, j'ai déjà utilisé çà
voici le rapport
Logfile of HijackThis v1.99.1
Scan saved at 12:07:01, on 07/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\program files\softwin\bitdefender8\bdnagent.exe
C:\program files\softwin\bitdefender8\bdswitch.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Mes Documents\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laderniereheure.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\program files\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] c:\program files\softwin\bitdefender8\bdswitch.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Image Converter 2 ??? - C:\Program Files\Sony\Image Converter 2\menu.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su-newocx/ [...] TSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0505518890
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su-newocx/ocx/15014/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65BA7A92-AE08-43B6-956C-E2E8C35EA763}: NameServer = 195.238.2.21 195.238.2.22
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
j'ai soumis le rapport sur le site, rien de méchant
enfin, si tu trouves la faille...
merci
Marsh Posté le 07-02-2006 à 12:09:00
moi je veux bien aller virer tout mon dossier "c/win/sys32/drivers/etc/hosts" mais...y a pas des trucs utiles là ?
j'ai cliqué droit sur le hosts & ouvert BDefender, j'ai mis la chose en quarantaine en tous cas
Marsh Posté le 07-02-2006 à 12:30:19
ben ton fichier host , normalement doit y avoir dedans quasi rien...sinon c louche...
au pire passe le a l'anti-virus en ligne, non ?
White
Marsh Posté le 10-02-2006 à 19:59:04
Bonsoir lazarusbf,
Idrivert.exe est le service de directeur de Tableau d'InstallDriver qui est lancé par du logiciel qui emploie Macrovision¡¯s InstallShield comme programme d'installateur. Ce processus sortira quand l'installation de logiciel est finie.
- A faire avant de fixer les lignes avec Hijackthis
==============================
- Télécharger et installer
cleanup http://www.stevengould.org/software[...]p/download.html Tuto http://www.tutoriaux-excalibur.com/[...]s_cleaunup!.htm
-Télécharger
RegSeeker 1.45 http://www.01net.com/telecharger/w [...] 29399.html
dézipper dans un dossier nommé C:\Regseeker Tuto http://www.zebulon.fr/articles/regseeker-1.php
===============================
-Fait Ctrl+alt+suppr/clique sur processus/et cherche I Drivert.exe/fait un clique droit et clique sur terminer le processus.
- Autorise l'affichage des fichiers et dossiers cachés
1 - Poste de travail menu Outils - Option des dossiers - onglet Affichage
2 - Cocher Afficher les Fichiers et dossiers cachés
3 - Décocher Masquer les fichiers protégés du système d'exploitation (recommandé)
4 - Décocher Masquer les extensions dont le type est connu
5 - clique sur Appliquer et Ok pour valider les changements
================================
- Désactive la restauration systéme
- Redémarre ton PC en mode sans échec
- Relances Hijackthis, clique sur le bouton Scanner seuleument
- Coche la case devant ces lignes et clique sur le bouton Fixer obget
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
=================================
Recherche et supprime ce fichier idrivert.exe
- Utilise Cleanup pour nettoyer ton disque dur des fichiers inutiles
==================================
- Redémarre en mode normal
- Utilise Regseeker pour nettoyer le registre
* Vérifie en bas à gauche que la case devant Backup avant suppression est bien cochée
* Clique à gauche sur Nettoyer le registre
* Décoche la case devant Scanner disques pour anciens EXE et clique sur OK!
* Le scan fini clique en bas sur Sélectionner tout et Sélectionner éléments verts
* Clic droit sur les éléments sélectionnés et choisis Supprimer les éléments sélectionnés
- Refais un scan avec Hijackthis et poste son rapport.
Tiens nous au courant.
Bonne soirée.
Marsh Posté le 06-02-2006 à 10:58:01
salut
BDefender m'annonce chaque jour quand j'allume mon pc
que le fichier cwindows/syst32/drivers/etc/hosts est infecté
par ce trojan, il a bloqué le virus & le pc n'est pas infecté
ok mais comment le virer ? je suis allé sur leur site & dans la liste
de tous les virus je trouve pas le mien
merci