un cheval de troie

areuse · 04/07/2009 - 18h15

Bonjour ,
chaque fois que je lance mon PC , "avast" me fait savoir que j'ai un virus sur mon ordinateur

si je regarde dans le journal d'Avast je trouve ceci :
"HTML:SkinTrim-A[Trj)has been found in "C:\DOCUM~1\HP_PRO~1\LOCALS~1\ Temp\qiioqup.tmp" file"

Je ne comprends rien et je ne sais pas si je peux l'enlever
Merci d'avance de me répondre et de m'aider si cela vous est possible
Bon week-end
Areuse

**b marlow** · 04/07/2009 - 19h15

Bonjour,
Applique la procédure décrite dans ce sujet puis à la fin poste les rapports.

areuse · 04/07/2009 - 19h44

j'ai édité 2 log : celui qui concerne tout depuis 1 mois et
celui qui concerne tout depuis 3 mois
mais je n'ai rien en "info"
voilà j'ai pourtant bien suivi vos informations en même temps que je faisais les choses sur mon bureau
merci pour votre patience
areuse

**b marlow** · 04/07/2009 - 19h58

Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau

Enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau
(s'il ne s'est déjà lancé tout seul)

Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.

< Ne fais pas le choix 2 >

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Poste l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

Ensuite télécharge et installe Malwarebytes' Anti-Malware

Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

areuse · 04/07/2009 - 21h09

voilà tous les rapports que vous m'avez demandé
cordialement
Areuse

**b marlow** · 04/07/2009 - 21h39

l'infection principale provenait d'un de ces programmes qui installe insidieusement l''adware Navipromo :

Instant Access
GoRecord
Go-Astro
HotTVPlayer
Instant Access
InternetGameBox
Live-Player
MailSkinner
MessengerSkinner
Sudoplanet
WebMediaPlayer
Speed-Downloading
Official-eMule
Games Attack
Funky Emoticons
Original-Solitaire

Désinstalle/supprime les programmes suivants:
C:\Program Files\GamesBar
C:\Program Files\QUAD Utilities

je te conseille d'en profiter pour désinstaller avast qui n'est manifestement pas à la hauteur
même face à des fichiers connus depuis longtemps, remplace-le par >AntiVir< est bien
meilleur qu'avast. Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable,désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto
puis fais un scan. S'il détecte un problème poste le rapport.
à la fin nous nettoierons les quelques lignes dans HijackThis.

Comment éviter les programmes piégés ? http://b.marlow.free.fr/programmes_pieges_.html

areuse · 05/07/2009 - 02h12

bon c'était long mais je crois avoir bien fait ce que vous m'avez dit sauf que je n'ai pas trouvé ça : C:\Program Files\QUAD Utilities dans les programmes à supprimer/désinstaller ...est ce gênant ?
sinon le scan n'est pas encore terminé mais là j'ai vraiment sommeil !!
merci pour votre patience
Areuse

areuse · 05/07/2009 - 08h49

voilà le rapport du scan de cette nuit et ce que j'ai dans le dossier "quarantaine" je n'ai pas réussi à vous l'envoyer...

Merci pour tout
Areuse

**b marlow** · 05/07/2009 - 10h33

Tu as regardé si tu voyais Quad Utilities dans démarrer>>tous les programmes ?
Il n'est pas dans le panneau ajout-suppr des programmes ?

tu ne trouves pas le rapport AntiVir ou tu n'arrives pas à le poster ici ?

areuse · 05/07/2009 - 16h39

j'ai regardé et dans démarrer>>tous les programmes et dans le panneau ajout-suppr des programmes
j'ai même regardé si j'avais un dossier "Quad Utilities" dans "rechercher"

pour le rapport antivir je comprends pas : la pièce jointe n'est pas partie avec mon message ce matin

donc je réessaie maintenant mais je ne sais pas comment faire pour vous montrer tout ce que le scan m'a fait mettre dans le fichier "quarantaine"
Cordialement
Areuse

**b marlow** · 05/07/2009 - 18h26

Poste de nouveaux rapports RSIT , log et info.txt

areuse · 05/07/2009 - 21h15

voilà je viens de faire le rapport avec RSTI (et toujours de "info.txt)
merci
Areuse

**b marlow** · 05/07/2009 - 23h43

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTMoveIt3.exe pour le lancer.

Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
 
:Files
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\bwgo0000aa3a.exe       
C:\Program Files\BitDownload     
C:\Program Files\QUAD Utilities       
C:\Documents and Settings\HP_Propriétaire\Application Data\EoRezo       
 
 
:Reg 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
 "C:\Program Files\BitDownload\BitDownload.exe"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
[-HKEY_CLASSES_ROOT\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=-
[-HKEY_CLASSES_ROOT\CLSID\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=-
[-HKEY_CLASSES_ROOT\CLSID\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
"ISUSScheduler"=-
"AlcxMonitor"=-
"LVCOMSX"=-
"HP Software Update"=-
"nwiz"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
"TkBellExe"=-
"EoEngine"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07e9bc65-87ec-11dc-bd72-0011d85f7672}]  
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"=-
"LogitechSoftwareUpdate"=-
"Skype"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f03e18a2-db5a-11d9-b965-0011d85f7672}]       
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{149E45D8-163E-4189-86FC-45022AB2B6C9}]
[-HKEY_CLASSES_ROOT\CLSID\{149E45D8-163E-4189-86FC-45022AB2B6C9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CC450D71-CC90-424C-8638-1F2DBAC87A54}]
[-HKEY_CLASSES_ROOT\CLSID\{CC450D71-CC90-424C-8638-1F2DBAC87A54}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw+0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw+0s]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw-0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw-0s]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw00]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw00s]
 
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone puis choisir Coller.

Cliquer sur le bouton rouge Moveit!
Fermer OTMoveIt3

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_*** ***.log

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

************************

Ensuite branche toutes tes sources de données externes. Clés Usb, dd, etc...sans les ouvrir.

Télécharge FindyKill , enregistre-le sur le Bureau puis installe-le normalement.
lance-le ensuite par le raccourci créé sur le Bureau. (si tu as Vista clic-droit Exécuter en tant qu'admin...)
au menu choisis l'option 1
laisse-le travailler à la fin poste le rapport généré.

areuse · 06/07/2009 - 22h34

Désolée
j'arrive du boulot et je vous envoie les rapports
Une question : j'ai dû ignorer 2 fois un fichier détecté comme malveillant par ANTIVIRA (l'antivirus) avant que le "scan" de Findykill , est-ce "normal" ?
Merci encore pour votre patience
Areuse

**b marlow** · 06/07/2009 - 22h42

aucun problème avec les détections AntiVir. c'est normal il signale des fichiers
susceptibles d'être des risktools.
relance FindyKill puis choisis cette fois l'option 2
toujours avec les sources de données externes connectées.
laisse-le faire son travail.à la fin poste le rapport.

Ensuite télécharge ToolsCleaner (A.Rothstein et dj QUIOU) sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt