Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1725 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Impossible de supprimer Trojan.Small.Fb

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Impossible de supprimer Trojan.Small.Fb

n°2669053
wipi
Posté le 31-03-2007 à 10:19:59  profilanswer
 

Bonjour
 
En scannant mon PC AVG Anti Spyware m'a trouvé Trojan.Small.Fb.
 
Après avoir scanné avec :
 
AVG Anti Spyware 7.5
Avast
CCleaner
Spyware terminator
Spyware Blaster
Cleanup
Ad aware
SDFix
Spybot Search & Destroy
FixWareOut
 
en mode normal ou sans échec, rien n'y fait.
 
J'ai remarqué qu'en scannant en mode sans échec, je n'ai rien.
En repassant sous Windows normal, seul AVG Anti Spyware 7.5 détecte ce troyen.
Mais le plus bizarre c'est qu'il ne le détecte pas sur un disque dur mais à cet emplacement :
 
[184] VM_01250000
 
Je ne sais pas ce que ça veut dire. On dirait un emplacement mémoire mais en mode sans échec ça ne le fait pas et mon PC ne marche pas tous les jours.
Ce troyen semble rediriger certaines pages web type Google.fr sur des types apparentés X comme adultfriendfinder.
En utilisant Firefox, ça ne le fait pas.
 
Ma config : XP Pro SP2, antivirus Avast à jour, firewall Kerio 2.1.5, ADSL Orange DébitMAX sur modem SpeedTouch ethernet.
J'ai testé ma sécurité sur des sites comme Shileds Up et tous mes ports sont nickel.
 
Avez vous une idée ?
 
merci  :jap:
 
Edit : rapport HiJack this
 
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:46:58, on 30/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\WINNT\system32\CAP2RSK.EXE
C:\Program Files\SpeedFan\speedfan.exe
C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP2SWK.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe
C:\WINNT\system32\wbem\wmiprvse.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {865DBF8E-627E-E41F-2384-B48DC8F17B95} - RtlFindVal.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CAP2ON] C:\WINNT\system32\Spool\Drivers\w32x86\3\CAP2ONN.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [washindex] C:\Program Files\Washer\washidx.exe "Administrateur"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\RunOnce: [washindex] C:\Program Files\Washer\washidx.exe "Administrateur"
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1638426218
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://202.222.144.31/activex/AxisCamControl.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{058D63D5-A7DC-4596-9650-B5D807EE310E}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{C052026E-CE4A-4D4E-9F4F-4E1606DC70A3}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.114 85.255.112.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{058D63D5-A7DC-4596-9650-B5D807EE310E}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.114 85.255.112.60
O17 - HKLM\System\CS2\Services\Tcpip\..\{058D63D5-A7DC-4596-9650-B5D807EE310E}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.114 85.255.112.60
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINNT\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINNT\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINNT\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Gestionnaire d'utilitaires (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINNT\System32\vssvc.exe
O23 - Service: Windows Management Service - Unknown owner - C:\WINNT\system32\dmqem.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINNT\system32\wbem\wmiapsrv.exe
 
--  
End of file - 9381 bytes

 
ReEdit :
 
Après moults scans, le fichier en cause est DMQEM.exe : comment le virer, ça marche pas avec HiJackThis.
 
merci


Message édité par wipi le 31-03-2007 à 12:00:24
mood
Publicité
Posté le 31-03-2007 à 10:19:59  profilanswer
 

n°2669131
med365
Posté le 31-03-2007 à 13:53:21  profilanswer
 

Ok, fais ceci :

 

I] Coches et fixes :

 
Citation :

  


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R3 - URLSearchHook: (no name) - {865DBF8E-627E-E41F-2384-B48DC8F17B95} - RtlFindVal.dll (file missing)
O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{058D63D5-A7DC-4596-9650-B5D807EE310E}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{C052026E-CE4A-4D4E-9F4F-4E1606DC70A3}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.114 85.255.112.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{058D63D5-A7DC-4596-9650-B5D807EE310E}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.114 85.255.112.60
O17 - HKLM\System\CS2\Services\Tcpip\..\{058D63D5-A7DC-4596-9650-B5D807EE310E}: NameServer = 85.255.113.114,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.114 85.255.112.60
O23 - Service: Windows Management Service - Unknown owner - C:\WINNT\system32\dmqem.exe

 

II] Supprimes le service

 

Va dans la misc tools section d'hijackthis et sélectionne "delete an NT service" la copies-colles le texte :
Windows Management Service

 

Redémarres le PC

 

III] Supprimes le fichier

 

Télécharges la Killbox : http://kilbox.net/ et lance le fichier
Copies-colles dans la zone \\"file to delete\\" C:\WINNT\system32\dmqem.exe
Coches \\"delete at nex boot\\"
Cliques sur la croix rouge
Accepte le redémarrage

 

IV] Scanne en ligne

 

Va sur http://www.bitdefender.fr/ et scanne en ligne
Poste le rapport

 

V] Utilise ListorCL

 

Télécharges ListorCL depuis http://med365.co.nr/
Décompresse le CAB puis lance le SFX, enfin lance le fichier ListorCL.exe
Tapes ensuite l'une après l'autre :

 
  • logsrvc
  • logboot
  • logapp
  • lognet
 

Puis poste le fichier listor.log


Message édité par med365 le 31-03-2007 à 13:53:59

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Impossible de supprimer Trojan.Small.Fb

 

Sujets relatifs
Impossible de déverouiller window live messengerImpossible d'installer WinXp sur un Amilo Pro
[résolu] vundo et ibis.websearch reviennent après chaque desinfectionsupprimer xp qui est en multiboot sur une partition differente
Supprimer vistaImpossible de demarrer XP... registry_error [resolu]
supprimer INETINFO[Résolu] [Brighstor] Impossible d'utiliser les cartouches
Suppression impossible sous outlook express 
Plus de sujets relatifs à : Impossible de supprimer Trojan.Small.Fb


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR