Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1394 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  trojan.Gload.d="w32.exe" +fichier d'echange (résolu)

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

trojan.Gload.d="w32.exe" +fichier d'echange (résolu)

n°2496477
zorlac42
Posté le 23-08-2006 à 13:21:41  profilanswer
 

Je fais un peu de menage pour etre plus clair :
 
 
Je résume un peu ma situation qui devient plus precise a ce moment :  
 
- Virus inconnu qui m'a installé un fichier "w32.exe" dans le dossier demarrage de windows -  
- J'ai supprimé ce fichier et passé l'ordi avec AVG, AVAST, SPYBOT, AD-AWARE, EWIDO, A-SQUARED FREE, sans changement malgres la suppression d'une "ALEXA toolbar" -  
- Dans HijackThis, une ligne "R03 - URL SearchHook is missing" reaparrait a chaque fois que je la supprime et redemarre -  
 
 
Cela se traduit par ces problemes sur ma machine :  
 
- "Fichier d'echange" dans le panneau gestionnaire de tache qui n'arrete pas de grossir = 800 ko/sec environ 2 Go en 15 minutes et gros ralentissement du system -  
- Lorsque j'arrete le processus "MotiveSB.exe" dans le gestionnaire de processus, ce "fichier d'echange" arrete d'augmenter -  
- Des fenetre publicitaires qui apparaissent dans mon mavigateur et qui reprennent les termes de ma recherche sur Google -  
 
 
 
Si quelqu'un peut m'aider, ou me donner une piste, ce serait bien cool !


Message édité par zorlac42 le 30-08-2006 à 15:15:52
mood
Publicité
Posté le 23-08-2006 à 13:21:41  profilanswer
 

n°2496623
zorlac42
Posté le 23-08-2006 à 15:46:00  profilanswer
 

Ca n'avance pas beaucoup, malgres un passage avec CCleaner et Easy cleaner
 
 
 
Je poste un scan HijackThis; Si quelqu'un peut jeter un oeil dessus :
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 15:32:24, on 23/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Microsoft Money\System\Money Express.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\hijackthis2\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {D091A3BF-C95A-AF25-5547-51D0B002E775} - C:\WINDOWS\msglm1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [\\ERWAN-01\EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P37 "\\ERWAN-01\EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [\\ERWAN-01\EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P37 "\\ERWAN-01\EPSON Stylus DX3800 Series" /M "Stylus DX3800" /EF "HKCU"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0015820578
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP1.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

n°2496943
jokoman
"so much trouble in the world"
Posté le 23-08-2006 à 21:22:55  profilanswer
 

Question bète mais penses tu à désactiver la restauration système avant de procéder à un nettoyage et de faire celui ci en mode sans échec?

n°2496995
zorlac42
Posté le 23-08-2006 à 22:32:30  profilanswer
 

Oui jokoman, je l'ai desactivé dés le début et ne l'ai toujours pas réactivé.
 
Sur les conseils d'un membre d'un autre forum, j'ai passé l'ordi avec "F-secure blacklightBeta", qui analyse les process cachés : aucun résultat.
C'est rageant, si je ne supprime pas le processus "MotiveSB.exe", le fichier d'echange enfle indefiniement et il devient tres vite impossible de faire quoi que ce soit sans redemarrer.
E toujours cette petite fenetre qui apparait regulierement sous google et qui reprend mes termes exactes de recherche.
 
HELLLP ! expert needed !

n°2497019
zorlac42
Posté le 23-08-2006 à 23:18:19  profilanswer
 

Bon, je me sent un peu bete la, mais en fouillant dans le journal de Avast, j'ai trouvé ca:
 
 
21/08/2006 20:25:12 Nadia 3800 Sign of "Win32:Trojan-gen. {Delphi}" has been found in "C:\setup\gendel32.ex_" file.  
21/08/2006 20:52:15 Nadia 3800 Sign of "VBS:Malware [Script]" has been found in "F:\Mes images\kroklock.swf" file.  
23/08/2006 13:54:29 SYSTEM 516 Sign of "Win32:Agent-gen [Trj]" has been found in "C:\WINDOWS\12.tmp" file.  

 
Ces infections semblent avoir été traité par l'anti virus, mais je ne les avait pas remarqués.
 
 
En tout cas ils ne sont plus sur ma becane, mais j'en sais un peu plus sur ceux qui ont foutu le bordel dans ma machine.
Je cherche sur le net des traitements possibles ... mais si quelqu'un a deja eu a faire a ces bestioles, je serai ravi qu'il me file un coup de main.

n°2497287
zorlac42
Posté le 24-08-2006 à 12:32:39  profilanswer
 

Ca yest, je l'ai !!! :bounce:  
 
 
J'ai installé la version d'évaluation de kaspersky, qui m'a trouvé le virus :
 
"Trojan.Win32.Gload.d", qui reside dans le fichier "C/windows/system32/Cmqm.dll"
 
 
Malheureusement il ne peut pas le supprimé et j'ai beau chercher sur le net, je ne trouve pas d'outil capable de le supprimé, car il n'existe meme pas dans la liste de "viruslist.com".
 
 
 
Savez-vous comment le supprimer ?


Message édité par zorlac42 le 24-08-2006 à 12:44:49
n°2497301
zorlac42
Posté le 24-08-2006 à 12:55:42  profilanswer
 

Etonnant !
 
Cette DLL n'existe nul part sur le web ...? :heink:  
 
Est-ce que je dois la supprimer manuellement ... j'ai peur de faire une connerie là. :??:  

n°2502622
zorlac42
Posté le 30-08-2006 à 00:20:56  profilanswer
 

Voila ou j'en suis ....  
 
1_ premiere etape :
 
-J'ai supprimmé la DLL infecté
-Mis a jour mon XP_sp1 vers XP_sp2
-Désinstallé tous les pilotes de ma connexion internet (dont MotiveSB.exe) et réinstallé.
 
résultat, plus de trace de virus, ni de fenetres intempestives sur Google, MAIS TOUOURS le fichier d'echange qui enfle tant que je ne supprime pas le processus MotiveSB.exe !!! Je deviens FOU ! :pfff:  
 
d'autant plus que Kaspersky m'avertit de tentatives de MotivesSB de changer des valeurs de registres, d'intrusion dans des processus, etc ...
 
donc,
 
 
2_ etape 2 :
 
_par l'intermediaire de HijackThis, j'interdit le processus MotiveSB de demarrer
_Avec mon PareFeu (zoneAlarm), j'intedit a MotiveSB de se connecter a internet.
 
Resultat, ma connexion intenet se fai sans probleme et mon fichier d'echange reste stable. :heink:  
 
Ca a l'air d'etre bon, quoi ... mais je ne comprend toujours pas pourquoi ce MotiveSB permet aux troyens de penetrer dans ma becane.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  trojan.Gload.d="w32.exe" +fichier d'echange (résolu)

 

Sujets relatifs
pas de connexion WIFI avec freebox (resolu)[résolu] Pb barre des tache windows XP
trojan via msn messenger?[Résolu] Trois lecteurs alors que j'en ai que deux?
[RESOLU] Problème d'adressage DHCP avec modem et routeur wifitrojan.small que faire?
Connaitre extention fichier ?[RESOLU] Pb partage Ethernet/wifi
drivers Nvidia ?(résolu)Comment supprimer un fichier sur Putfile.com ? [résolu]
Plus de sujets relatifs à : trojan.Gload.d="w32.exe" +fichier d'echange (résolu)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR