Cheval de troie!

alex-punx Messages postés 32 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
j' ai un gros problème avec mon PC que je viens à peine de m'acheter. Lors de la dernière analyse anti-virus(ESET NOD32), il y a un Cheval de droit impossible de nettoyer :
"Mémoire vive - win32/rootkit.agent.ODG cheval de troie - impossible de nettoyer"
Depuis ce temps, Firefox agit très bizarrement...Lorsque je clique sur un lien Google, le site ouvre sur une autre page et m'amène à un autre site. Cela n'arrive pas a tout les site. De plus, j'ai voulu installer Spybot et lorsque je l'installe un message d'erreur apparait : "Error sending request. L'adresse ou le nom de serveur n'a pas pu etre résolu". j'ai tenté de faire une restauration systeme mais sans succès. Windows me dit qu'il n'est pas en mesure de faire une restauration parce qu'il manque des informations sur le disque dur quelque chose du genre. S'il vous plait aider moi!! Merci
Configuration: Windows Vista
Firefox 3.1

15 réponses

  1. pti-damsi Messages postés 807 Date d'inscription   Statut Membre 44
     
    https://forums.cnetfrance.fr un tuto

    va jusqu'a copier puis apres colle le rapport ici si tu comprend pas

    telecharge hijackthis installe -le

    ouvre hijackthis

    clique sur do a scan and save file

    ensuite selectionne tout & colle tout ici
    2
  2. alex-punx Messages postés 32 Statut Membre 1
     
    Ok je vais essayer de le telecharger
    1
  3. pti-damsi Messages postés 807 Date d'inscription   Statut Membre 44
     
    telecharge hijackthis puis poste le rapport
    0
  4. Utilisateur anonyme
     
    Télécharge Kaspersky, il te le supprime directe!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pti-damsi Messages postés 807 Date d'inscription   Statut Membre 44
     
    telecharge hijackthis puis poste le rapport
    0
  7. Utilisateur anonyme
     
    Attention, avant de lancer HijackThis, désactive l'UAC, (contrôle de compte d'utilisateur)
    0
  8. alex-punx Messages postés 32 Statut Membre 1
     
    Comment sa fonctionne hijackThis???
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Salut

      Comme ça ;))


      C - Ccleaner :
      (nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc.)
      * Télécharge CCleaner.
      (attention à l'installation penser à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

      https://www.pcastuces.com/logitheque/ccleaner.htm
      http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
      Installe le dans un répertoire dédié.
      Décoche pendant l'installation
      --- les deux cases "Ajouter l'option ... "
      --- Contrôler les mises à jour
      * Lance Ccleaner pour un nettoyage complet.
      Tutorial ici:
      https://kerio.probb.fr/t242-tuto-ccleaner-v-2
      https://www.malekal.com/tutoriel-ccleaner/
      ET
      http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

      =========================================


      Pour Vista, il faut cette version de HijackThis :la 2.0.2
      https://www.pcastuces.com/logitheque/hijackthis.htm
      Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.

      - Va dans démarrer puis panneau de configuration
      - Double Clique sur l'icône "Comptes d'utilisateurs"
      - Clique ensuite sur désactiver et valide.


      Clic droit sur l'icône de HJT
      L'exécuter en tant qu'administrateur

      Dézippe le dans un dossier prévu à cet effet.
      Par exemple C:\hijackthis < Enregistre le bien dans c : !
      Démo : (Merci a Balltrap34 pour cette réalisation)
      http://pageperso.aol.fr/balltrap34/Hijenr.gif
      http://pageperso.aol.fr/balltrap34/Hijenr.gif
      Lance le puis:
      Clique sur "do a system scan and save logfile" (cf démo)
      Faire un copier coller du log entier sur le forum
      Démo : (Merci a Balltrap34 pour cette réalisation)
      http://pageperso.aol.fr/balltrap34/demohijack.htmhttp://pageperso.aol.fr/balltrap34/demohijack.htm
      http://www.tutoriaux-excalibur.com/hijackthis.htmhttp://www.tutoriaux-excalibur.com/hijackthis.htm


      +++++++++
      0
  9. Utilisateur anonyme
     
    Exécute le, puis clique sur la première option
    0
  10. alex-punx
     
    Sa donne sa:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:57:14, on 2009-04-24
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18226)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\RocketDock\RocketDock.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
    C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
    C:\Program Files\Steam\steam.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Windows\System32\mobsync.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\Mozilla Firefox 3.1 Beta 3\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
    O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: ImpulseNow.lnk = C:\Program Files\Stardock\Impulse\Now\ImpulseNow.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{63B72626-AC62-4BEE-90B6-5E846FBD9EFB}: NameServer = 85.255.112.97,85.255.112.64
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.97,85.255.112.64
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.97,85.255.112.64
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.97,85.255.112.64
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.97,85.255.112.64
    O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\Windows\System32\appdrvrem01.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
    0
  11. Utilisateur anonyme
     
    Je vais procéder a l'analyse :)
    0
    1. alex-punx
       
      Alors...??
      0
  12. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Re

    Télécharge SmitfraudFix
    Utilitaire de S!Ri: Moe et balltrap34
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    http://www.malekal.com/tutorial_SmitFraudfix.php
    et télécharge SmitfraudFix.exe.

    Regarde le tuto

    Exécute le en choisissant l’option 1,
    il va générer un rapport
    Copie/colle le sur le poste stp.

    process.exe
    est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consulting/processutil/processutil.ht
    m

    0
  13. alex-punx
     
    Mon ordi vien de redémarrer tout seul et lorsqu'il a redémarrer, Windows m'a dit qu'il manquait un fichier pour ouvrir Vista...J'ai démarrer en mode Derniere configuration connu.... Kespersky s'est pas installé...
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Tu as un détournement DNS


      1° Tu vas désactiver le contrôle des comptes d'utilisateurs.
      Dans le Panneau de configuration, Affichage classique, Comptes d'utilisateurs, cliques sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
      Clique sur Contribuer.
      Dans la fenêtre suivante, décoche Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
      Il te sera demandé de redémarrer.


      Ensuite tu fais smitfraud


      Laisse tomber kaspersky

      Installe Antivir

      ANTIVIR
      https://www.avira.com/
      Tuto
      http://speedweb1.free.fr/frames2.php?page=tuto5
      http://mr.dodo.perso.cegetel.net/tuto21.htm
      https://www.malekal.com/tutorial-sur-lantivirus-antivir/

      0
  14. Utilisateur anonyme
     
    Ah oui?! Pourquoi "laisse tomber Kaspersky" ?! Avira, c'est peut être un bon antivirus, mais Kaspersky a une meilleur détection !
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Ok

      Achète Kaspersky, installe-le et fais un scan

      ++
      0
  15. Utilisateur anonyme
     
    Il peut télécharger la version évaluation!
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Tout à fait et dans 3 mois re-belotte ;)
      0