Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Virus trojan

trojan

5 réponses
Avatar
grallu
bjr je suis sous win98 2eme ed,depuis quelque temps,quand je lance la recherche
en ligne par l'intermediaire de votre site,anti-virus et trojan,un seul intrus
revient ,son nom est
SMALL F.O et il est dans C:\`windows\temp\xwxload.exe.je le supprime apres
l'avoir trouve mais il se reinstalle quelque temps plus tard.pouvez me dire quel
est le programme qui est lie avec ce fichier exe et comment le supprimer
definitivement,de plus que je sois sur le net ou pas ,esce lui qui m'ouvre deux
pages blanches mais qui reste en pas de reponse (donc je dois faire
ctrl+alt+supp)pour les fermer ,les pages sont celles
çi(dl\html\microsoftinternet explorer, et about bank,et enfin ce mechant troyen
est'il la cause au fait que mon navigateur ne veut plus ouvrir certains dossiers
ou installes des programmes,merçi de me trouve une soluce.
amities a tous les internautes sympas bye patrick
Signaler un problème avec ce contenu

5 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
joke0
Salut,

grallu:
quand je
lance la recherche en ligne par l'intermediaire de votre
site,


Arff :) Ici tu es sur Usenet, mais tu y accèdes par une
interface web (Foorum). Ce n'est pas un site web, c'est
usenet ;-)

C'est quoi le site qui te scanne ton disque dur? Secuser.com?

anti-virus et trojan,un seul intrus revient ,son nom est
SMALL F.O et il est dans C:`windowstempxwxload.exe.je le
supprime apres l'avoir trouve mais il se reinstalle quelque
temps plus tard.


Ton windows est-il à jour? Utilises-tu un firewall?

pouvez me dire quel est le programme qui est
lie avec ce fichier exe et comment le supprimer
definitivement,de plus que je sois sur le net ou pas ,esce lui
qui m'ouvre deux pages blanches mais qui reste en pas de
reponse (donc je dois faire ctrl+alt+supp)pour les fermer ,les
pages sont celles çi(dlhtmlmicrosoftinternet explorer, et
about bank,et enfin ce mechant troyen est'il la cause au fait
que mon navigateur ne veut plus ouvrir certains dossiers ou
installes des programmes,merçi de me trouve une soluce.


Il se pourrait que ce soit lié (mais pas sûr).

La description (anglaise) de ta bestiole:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=T
ROJ_SMALL.FO

Ce n'est pas très méchant, c'est une téléchargeur de logiciel
publicitaire, mais le fichier à télécharger a disparu.

La description n'est pas terrible, mais normalement, tu dois
trouver des fichiers: xwxload.exe et msldf.exe

Le mieux est que tu nous fasses un rapport avec HijackThis:
<URL:http://joke0.free.fr/ht!.html>
L'endroit d'où se lance l'intrus apparaîtra en clair et on
pourra le virer facilement. Si tu as d'autres invités sur ton
PC, on les verra aussi ;-)

--
joke0

Avatar
patrick
slt joke ,c'est a toi de m'avoir repondu mais tu sais je suis un informaticien
de qualite disons 1.000.000 en dessous des professionnels,alors dur dur,ce
rapport que tu veux comment dois je le faire et quel info veux tu exactement ,tu
ne m'a pas repondu esce lui qui m'ouvre (voir message n°1) mes deux pages
miintexplorer?.
mon navigateur ne veut plus s'ouvrir et je ne peux plus installer de programme
esce encore lui .
a bientot patrick
Avatar
patrick
je dois pas etre si bebete que j'en l'air j'ai reussi a trouve ton rapoort
ouai(enfin ya pas de quoi le marquer ds le journal.
daLogfile of HijackThis v1.97.7
Scan saved at 11:23:20, on 11/06/2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMRPCSS.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:PROGRAM FILESNORTON ANTIVIRUSNAVAPW32.EXE
C:PROGRAM FILESLOGITECHITOUCHITOUCH.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSSYSTEMA.EXE
C:PROGRAM FILESLOGITECHMOUSEWARESYSTEMEM_EXEC.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:PROGRAM FILESAOL 9.0WAOL.EXE
C:PROGRAM FILESFICHIERS COMMUNSAOLACSAOLACSD.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:PROGRAM FILESAOL 9.0SHELLMON.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:PROGRAM FILESFICHIERS COMMUNSAOLAOLTPSPD.EXE
C:PROGRAM FILESFICHIERS COMMUNSMICROSOFT SHAREDVS7DEBUGMDM.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:PROGRAM FILESMICROSOFT OFFICEOFFICEWINWORD.EXE
C:WINDOWSMSAGENTAGENTSVR.EXE
C:WINDOWSBUREAUHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = 69.61.38.52
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.
117.132/index.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://213.159.117.132/index.php
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://213.159.
117.132/index.php
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://213.159.117.132/index.php
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.
117.132/index.php
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = http://213.159.
117.132/index.php
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:WINDOWSDOWNLOADED PROGRAM FILESYCOMP5_1_6_0.DLL
O2 - BHO: (no name) - {569E7719-1A11-415E-9206-AC1860FB8BFF} - (no file)
O2 - BHO: (no name) - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:WINDOWSLBBHO.
DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O3 - Toolbar: (no name) - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - (no file)
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:WINDOWSDOWNLOADED PROGRAM FILESYCOMP5_1_6_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,
LoadCurrentPwrScheme
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Norton Auto-Protect] C:PROGRA~1NORTON~1NAVAPW32.EXE
/LOADQUIET
O4 - HKLM..Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM..Run: [zBrowser Launcher] C:Program FilesLogitechiTouchiTouch.
exe
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,
LoadCurrentPwrScheme
O8 - Extra context menu item: Download All Links with IDM - C:PROGRAM
FILESINTERNET DOWNLOAD MANAGERIEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:PROGRAM FILESINTERNET
DOWNLOAD MANAGERIEExt.htm
O8 - Extra context menu item: &Download with InstantGet - res://C:PROGRAM
FILESINSTANTGETIGCATCHER.DLL/IGLink.htm
O8 - Extra context menu item: Download &all with InstantGet - res://C:PROGRAM
FILESINSTANTGETIGCATCHER.DLL/IGAll.htm
O8 - Extra context menu item: Download with GetRight - C:Program
FilesGetRightGRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:Program
FilesGetRightGRbrowse.htm
O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
C:PROGRA~1INCRED~1binresourcesWebMenuImg.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Run InstantGet (HKLM)
O9 - Extra 'Tools' menuitem: &InstantGet (HKLM)
O9 - Extra button: AIM (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.
com/games/clients/y/potd_x.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.
145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.
com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.
windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38082.0434259259
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) -
http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.
dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) -
http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: ConferenceRoom Java Client - http://mail.igl.net:8000/java/cr.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:Recycled1.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX
Control) - http://www.cg14.fr/sig/mgaxctrl.cab
O17 - HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net

voila tu peut si tu veux m'en faire une infusion pour que ça passe mieux .
amicalement patrick
Avatar
joke0
Salut,

patrick:
C:WINDOWSSYSTEMA.EXE


Coche. C'est un cheval de Troie bien connu (pas dangereux).

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page
= http://213.159. 117.132/index.php
R1 - HKCUSoftwareMicrosoftInternet
ExplorerMain,Default_Page_URL =
http://213.159.117.132/index.php R0 -
HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page > http://213.159. 117.132/index.php
R1 - HKLMSoftwareMicrosoftInternet
ExplorerMain,Default_Page_URL =
http://213.159.117.132/index.php R0 -
HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page > http://213.159. 117.132/index.php
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page
= http://213.159. 117.132/index.php


Coche tout ça.

O2 - BHO: (no name) - {569E7719-1A11-415E-9206-AC1860FB8BFF} -
(no file)


Coche, c'est vide.

O2 - BHO: (no name) - {EFD84954-6B46-42f4-81F3-94CE9A77052D} -
C:WINDOWSLBBHO. DLL


Coche. C'est un ad-ware

O3 - Toolbar: (no name) -
{98C92840-EB1C-40bd-B6A5-395EC9CD6510} - (no file)


Coche, c'est vide.

O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE


Coche!

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net


Attention situation dangereuse. La suppression de ceux-là peut
entraîner une perte de l'accés internet.

Donc: télécharge obligatoirement le réparateur en cas de
problème:
<http://www.bu.edu/pcsc/internetaccess/winsock2fix.html>

Tu l'exécuteras si tu perds l'accés à internet (une autre
solution est de supprimer le protocole TCP/IP, rebooter, et le
réinstaller, mais ce programme le fait automatiquement).

Ensuite coche.

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb
Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab


Coche.

O16 - DPF: {11111111-1111-1111-1111-111111111123} -
file://c:Recycled1.exe


Celui-ci ne sent vraiment pas bon. Il se cache dans le
répertoire spécial de la poubelle :-/

A cocher évidemment.

Puis:

Extrait de la FAQ :

J'ai coché les cases qu'on m'a indiquées. Et ensuite ?

Fermez obligatoirement Internet Explorer et Outlook Express,
puis cliquez sur le bouton 'Fix checked'. Ensuite redémarrez
l'ordinateur et vérifiez que ce que vous avez coché est bien
parti. Si ce n'est pas le cas, redémarrez en mode sans échec
(touche F8 au tout début du chargement de win), choix "safe
mode" ou "mode sans échec", et recommencez. Si l'opération
ne change rien, republiez un rapport dans le fil que vous
avez commencé.

Bon courage et tiens-nous au courant.

--
joke0

Avatar
patrick
ok merçi j'essayerai et je te tiens au courant .
a bientot patrick