Trojan "Win32:Delf-IWD [Trj]" dans le fichier "Content.IE5"

Le Forum Windows XP
Scanner Windows pour détecter les erreurs de registre

Ce que nous vous conseillons :

1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs.

2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons
    fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.



Messagepar doudou_8310 » 13 Avr 2008, 23:16

Bonsoir.

Cela fait deux jours qu'avast me détecte un cheval de Troie apparement nommé "Win32:Delf-IWD [Trj]" dans le fichier C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5PQFG5UJw[2].bin. Image

J'ai déja redémarré deux fois en mode sans échec et ai été supprimé ce fichier manuellement mais cela ne change rien, le cheval de Troie réaparrait de lui même (ce qui est le principe des chevaux de Troie si je ne m'abuse). Image





Voici le scan de hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:14:26, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesNVIDIA CorporationNvMixerNVMixerTray.exe
C:Program FilesHewlett-PackardHP Share-to-Webhpgs2wnd.exe
C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesJavajre1.5.0_10binjusched.exe
C:Program FilesNokiaNokia PC Suite 6LaunchApplication.exe
C:Program FilesFichiers communsAppleMobile Device SupportbinAppleMobileDeviceService.exe
C:Program FilesZone LabsZoneAlarmzlclient.exe
C:Program FilesLocalCoolinglocalcooling.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesiTunesiTunesHelper.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32pctspk.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:WINDOWSsystem32perfs.exe
C:Program FilesCyberLinkShared filesRichVideo.exe
C:Program FilesMio TechnologyMioSyncmioSync.exe
C:Documents and SettingsFamille MarchandMenu DémarrerProgrammesDémarrageAWC.exe
C:WINDOWSsystem32svchost.exe
c:Program FilesHewlett-PackardHP Share-to-Webhpgs2wnf.exe
C:WINDOWSsystem32ZoneLabsvsmon.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:Program FilesiPodbiniPodService.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesiTunesiTunes.exe
C:Program FilesJavajre1.5.0_10binjucheck.exe
C:Program FilesFichiers communsAppleMobile Device Supportbindistnoted.exe
C:Program FilesFichiers communsAppleMobile Device SupportbinAppleMobileDeviceHelper.exe
C:WINDOWSsystem32taskmgr.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_10binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.0.301.7164swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar4.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program FilesWindows Live Toolbarmsntb.dll
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [NVMixerTray] "C:Program FilesNVIDIA CorporationNvMixerNVMixerTray.exe"
O4 - HKLM..Run: [Share-to-Web Namespace Daemon] c:Program FilesHewlett-PackardHP Share-to-Webhpgs2wnd.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Microsoft Works Update Detection] C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [LanguageShortcut] "C:Program FilesCyberLinkPowerDVDLanguageLanguage.exe"
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.5.0_10binjusched.exe"
O4 - HKLM..Run: [PCSuiteTrayApplication] C:Program FilesNokiaNokia PC Suite 6LaunchApplication.exe -startup
O4 - HKLM..Run: [ZoneAlarm Client] "C:Program FilesZone LabsZoneAlarmzlclient.exe"
O4 - HKLM..Run: [LocalCooling] "C:Program FilesLocalCoolinglocalcooling.exe" -s
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [WOOKIT] C:PROGRA~1WanadooShell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: AWC.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:Program FilesYahoo!Yahoo! Widget EngineYahooWidgetEngine.exe
O4 - Global Startup: MioSync.lnk = C:Program FilesMio TechnologyMioSyncmioSync.exe
O8 - Extra context menu item: &Windows Live Search - res://C:Program FilesWindows Live Toolbarmsntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~3OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~3OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Fac ... oader3.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/Fac ... loader.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8829090906
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLMSystemCCSServicesTcpip..{0CB97BB3-6A0A-4526-93A4-FC276EECD8DA}: NameServer = 192.168.1.1
O17 - HKLMSystemCCSServicesTcpip..{51FF9266-33E3-475E-9373-E647C134C54F}: NameServer = 192.168.1.1
O17 - HKLMSystemCCSServicesTcpip..{8C0A3248-4DBB-433E-A1F7-59B3945CE682}: NameServer = 192.168.1.1
O17 - HKLMSystemCS1ServicesTcpip..{0CB97BB3-6A0A-4526-93A4-FC276EECD8DA}: NameServer = 192.168.1.1
O17 - HKLMSystemCS2ServicesTcpip..{0CB97BB3-6A0A-4526-93A4-FC276EECD8DA}: NameServer = 192.168.1.1
O23 - Service: Apple Mobile Device - Apple, Inc. - C:Program FilesFichiers communsAppleMobile Device SupportbinAppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodbiniPodService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:WINDOWSsystem32pctspk.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:WINDOWSsystem32perfs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:Program FilesCyberLinkShared filesRichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:WINDOWSsystem32ZoneLabsvsmon.exe

--
End of file - 10885 bytes


Merci!
€d ...
Le PC : Modèle: HP m9355.fr
Processeur: Intel(R) Core(TM)2 QUAD CPU Q9300 @ 2.50GHz
Mémoire Vive: 4,00 Go
Type du Système: Système d'exploitation 64 bits.
Windows VISTA Edition Familiale Premium, SP1.

Le Portable:
Marque: Asus
Windows XP
doudou_8310
 
Messages: 58
Inscrit le: 08 Juil 2002, 23:02

Messagepar f@ninform@tik » 14 Avr 2008, 08:31

Quels sont les options que Avast! te propose ?
f@ninform@tik
 
Messages: 222
Inscrit le: 09 Jan 2008, 15:15
Localisation: Devant mon ordi...

Messagepar doudou_8310 » 14 Avr 2008, 18:42

"Déplacer", "Supprimer", "Mettre en quarantaine" ou "Ne rien faire".

J'ai déjà testé les 3 premières mais à chaque fois j'ai un message d'avast:
avast!: Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

C'est d'ailleurs suite à ces messages que j'ai décidé le redémarrage en mode sans échec et la suppression manuelle des fichiers .bin (w[1].bin; w[2].bin; w[3].bin et w[4].bin) situés dans C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5\0PQFG5UJ.
(Le fichier "OPQFG5UJ" a d'ailleurs changé depuis. Maintenant c'est "K9MBCDEF".)

J'en ai donc déduit que le virus crée un dossier qu'il nomme d'un chiffre et de sept lettres dans le dossier C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5, et qu'il place dans ce dossier les fichiers .bin.

:(
€d ...
Le PC : Modèle: HP m9355.fr
Processeur: Intel(R) Core(TM)2 QUAD CPU Q9300 @ 2.50GHz
Mémoire Vive: 4,00 Go
Type du Système: Système d'exploitation 64 bits.
Windows VISTA Edition Familiale Premium, SP1.

Le Portable:
Marque: Asus
Windows XP
doudou_8310
 
Messages: 58
Inscrit le: 08 Juil 2002, 23:02

Messagepar zebulon » 14 Avr 2008, 19:14

Bonjour,

Tu peux toujours essayer d'utiliser CECI, c'est gratuit pendant 30 jours et si satisfaction t'est donnée l'acheter en guise de reconnaissance et de protection ultérieure.
Dernière édition par zebulon le 14 Avr 2008, 20:04, édité 1 fois au total.
zebulon
 
Messages: 325
Inscrit le: 18 Fév 2008, 20:49

Messagepar doudou_8310 » 14 Avr 2008, 20:14

Bonsoir,

Tu penses donc que je suis victime d'un spyware?
(Je ne sais pas moi même donc c'est possible...)

Je suis juste un peu surpris par cette proposition car j'ai fait plusieurs recherches sur le net avant de venir poster ici, et j'ai souvent vu qu'on conseillait d'utiliser ComboFix, mais apparemment ce n'est pas un programme très stable...

Qu'en pensez-vous?

SPYWAREfighter ou ComboFix... ou les deux?

Thks!
€d ...
Le PC : Modèle: HP m9355.fr
Processeur: Intel(R) Core(TM)2 QUAD CPU Q9300 @ 2.50GHz
Mémoire Vive: 4,00 Go
Type du Système: Système d'exploitation 64 bits.
Windows VISTA Edition Familiale Premium, SP1.

Le Portable:
Marque: Asus
Windows XP
doudou_8310
 
Messages: 58
Inscrit le: 08 Juil 2002, 23:02

Messagepar zebulon » 14 Avr 2008, 20:43

Re,

Sous xp rends-toi dans c:windowssystem32, classe les fichiers par ordre décroissant de date : le fichier le plus récent doit être wpa.dbl. s'il s'en trouve de plus récents note leur nom et fais une recherche sur le net pour connaître leur signification. Sauf en de rares exceptions tout fichier plus récent est suspect et doit être supprimé.
zebulon
 
Messages: 325
Inscrit le: 18 Fév 2008, 20:49

Messagepar doudou_8310 » 14 Avr 2008, 20:52

Wahou jme trouve très con d'un coup, face à un pb ridicule mais bien chiant...

Je m'explique ^^

Tout motivé je me rend dans system32, clic sur Affichage/Réorganiser les icônes par et là, horreur, je n'ai les options d'un dossier de musique: Nom; Taille; Type; Artiste; Titre de l'album; Année; Numéro de Piste; Durée.

Que faire?
€d ...
Le PC : Modèle: HP m9355.fr
Processeur: Intel(R) Core(TM)2 QUAD CPU Q9300 @ 2.50GHz
Mémoire Vive: 4,00 Go
Type du Système: Système d'exploitation 64 bits.
Windows VISTA Edition Familiale Premium, SP1.

Le Portable:
Marque: Asus
Windows XP
doudou_8310
 
Messages: 58
Inscrit le: 08 Juil 2002, 23:02

Messagepar zebulon » 15 Avr 2008, 07:59

Bonjour,

Dans l'explorateur menu "Affichage" --> "choisir les détails" --> " Date de modification" et "Date de création".
zebulon
 
Messages: 325
Inscrit le: 18 Fév 2008, 20:49


Retour vers Windows XP

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : BingBot [Bot], Google [Bot], Yahoo [Bot] et 2 invités

  •  Liens commerciaux