Mon 2ème ordinateur infecté par TROJAN&Co

LabsGlawd Messages postés 132 Statut Membre -  
LabsGlawd Messages postés 132 Statut Membre -
Bonjour,
Bon , bah voilà même problème avec Trojan , j'ai d'ja installé Hijackthis et RSIT , je ferai un scan demain ! ;) ++
Configuration: Windows XP Internet Explorer 7.0

40 réponses

  • 1
  • 2
Résumé de la discussion

Une infection de type cheval de Troie sous Windows XP et Internet Explorer 7 conduit à une discussion sur les outils et méthodes de désinfection. Plusieurs réponses recommandent d’utiliser les utilitaires de désinstallation pour Avast et Symantec, puis CCleaner pour nettoyer le registre et les fichiers indésirables, en évitant de sauvegarder la base de registre. D’autres préconisent USBFix et ComboFix, ainsi que l’analyse de fichiers suspects tels que C:\wxhsq.exe et l’envoi éventuel sur VirusTotal pour obtenir un rapport et guider la désinfection. En parallèle, certains conseils évoquent l’affichage des fichiers et extensions cachés ou des éléments protégés du système pour repérer des composants malveillants et sauvegarder les rapports pour analyse.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. LabsGlawd Messages postés 132 Statut Membre 6
     
    Internet ne s'affiche plus , et l'ordinateur bug beaucoup ! ;) Voilà qq symptomes.
    0
  2. LabsGlawd Messages postés 132 Statut Membre 6
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-05-29 16:21:47
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 27 GB (69%) free of 39 GB
    Total RAM: 1534 MB (73% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:21:58, on 29/05/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: C:\WINDOWS\system32\yhafd78auhd.dll - {c6c7b2a1-00f3-42bd-f434-00aaba2c8953} - C:\WINDOWS\system32\yhafd78auhd.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
    O4 - HKLM\..\Run: [28408] C:\wxhsq.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/241839bc229ed9782119/netzip/RdxIE601_fr.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
    O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
    O20 - Winlogon Notify: elrqkbk - C:\WINDOWS\SYSTEM32\elrqkbk.dll
    O22 - SharedTaskScheduler: gsf87hfunf98398jd - {C6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\yhafd78auhd.dll
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: avast!antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe (file missing)
    O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)
    O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
    0
  3. V-X
     
    Re,

    Pour commencer:

    Comment supprimer correctement les produits SYMANTEC

    Désinstaller AVAST comment le faire proprement

    ▶ Telecharge et install UsbFix de C_XX & Chiquitine29

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    ▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

    ▶ Choisi l option 1 ( Recherche )

    ▶ Laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
    0
  4. arnold0.2 Messages postés 3 Statut Membre
     
    slt gars tout se que je peux te dire c qu'il éxiste un anti-trojan qui s'appelle trojan remover cherche a l'intérieur de ce site mème la démo est disponible
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. V-X
     
    Re,

    Slt gars tout se que je peux te dire c qu'il éxiste un anti-trojan qui s'appelle trojan remover cherche a l'intérieur de ce site mème la démo est disponible

    OK , merci pour l'info ..

    ++
    0
  7. LabsGlawd Messages postés 132 Statut Membre 6
     
    ok ,thx , j'fais ça tt d'suite ;)
    0
    1. V-X
       
      Re,

      Fait ce qui est marquer ICI

      ++
      0
  8. LabsGlawd Messages postés 132 Statut Membre 6
     
    Faut obligatoirement installer aswClear ?
    0
  9. LabsGlawd Messages postés 132 Statut Membre 6
     
    Comment savoir quel avast désinstaller?
    0
  10. V-X
     
    Re,

    Fait sa :

    Passe l'utilitaire de désinstallation d'avast

    ▶ Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
    CCLEANER

    ▶ Lance-le. Va dans "Options" puis "Avancé",

    ▶ Tu décoches la case "Effacer uniquement les fichiers etc...".

    ▶ Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage.

    ▶ Tu vas dans "Registre", tu fais "Chercher des erreurs".

    Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

    ▶ Un tuto ( aide )
    0
  11. LabsGlawd Messages postés 132 Statut Membre 6
     
    Et après , je fais usbfix?
    0
  12. V-X
     
    Re,

    Oui , mais tu fait les deux utilitaire de désinstallation , celui pour avast et celui de symantec.

    Fait CCleaner et ensuite tu fais usbfix.

    ++
    0
  13. LabsGlawd Messages postés 132 Statut Membre 6
     
    Pour Symantec , c'est fait , et pour avast je ne sais pas qu'elle version choisir parmis la liste ?
    0
  14. LabsGlawd Messages postés 132 Statut Membre 6
     
    xD , ok! ;)
    0
  15. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    yep,

    cela ressemble a s'y méprendre a du mydoom
    C:\WINDOWS\svhost.exe

    je comprend pas trop comment Antivir ne vois pas ça!

    cela dis,V-X,pour faire avancer notre recherche sur usbfix,peux-tu demander un scan vt sur
    C:\wxhsq.exe

    je te remercie d'avance

    bonne continuation avec ton zlob et autres
    ;)
    0
  16. LabsGlawd Messages postés 132 Statut Membre 6
     
    ############################## [ UsbFix V3.026 | Scan ]

    # User : Administrateur () # POSTE1
    # Update on 26/05/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 19:07:03 | 29/05/2009

    # Intel(R) Pentium(R) 4 CPU 3.06GHz
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 7.0.5730.11
    # Windows Firewall Status : Disabled
    # AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 38,29 Go (27,31 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque amovible # 970,12 Mo (961,47 Mo free) [FLASH DISK] # FAT
    # F:\ # Disque fixe local # 153,31 Go (131,46 Go free) [Q! M3 160GO] # FAT32

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Registre Startup ]

    HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    HKCU_Main: "Search Page"="https://www.google.com/?gws_rd=ssl"
    HKCU_Main: "Start Page"="https://www.orange.fr/portail"
    HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    HKLM_logon: "DefaultUserName"="Administrateur"
    HKLM_logon: "AltDefaultUserName"="Administrateur"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""
    HKLM_Run: 28408=C:\wxhsq.exe
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Found ! "C:\Program Files\ThunMail\testabd.dll"
    Found ! "C:\Program Files\ThunMail"
    Found ! C:\lsass.exe
    Found ! C:\lsass.exe
    E:\autorun.inf # -> fichier appelé : "E:\name\\\\\\\\\\\\less.exe" ( présent ! )
    Found ! E:\autorun.inf
    Found ! F:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    Found ! HKLM\software\microsoft\windows nt\currentversion\winlogon "Taskman"
    Found ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )

    ################## [ Registre # Mountpoints2 ]

    HKCU\...\Explorer\MountPoints2\{8624886e-875c-11db-983b-00032f50e4c6}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{8624886e-875c-11db-983b-00032f50e4c6}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{89e94728-e6d0-11dc-9d6d-00032f50e4c6}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{a533632e-c306-11d9-94c8-00604c6b8799}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{a533632e-c306-11d9-94c8-00604c6b8799}\Shell\explore\Command
    HKCU\...\Explorer\MountPoints2\{a533632e-c306-11d9-94c8-00604c6b8799}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{f14ceb26-e3e8-11dd-a657-00032f50e4c6}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{f14ceb26-e3e8-11dd-a657-00032f50e4c6}\Shell\explore\Command
    HKCU\...\Explorer\MountPoints2\{f14ceb26-e3e8-11dd-a657-00032f50e4c6}\Shell\open\Command

    ################## [ Informations # Fichier Suspect ]

    ################## [ Cracks # Keygens # Serials ]

    # -> Nothing found !

    ################## [ ! Fin du rapport # UsbFix V3.026 ! ]
    0
  17. V-X
     
    Re,

    Clique sur le menu Demarrer / Panneau de configuration / Options des dossiers / puis dans l'onglet Affichage
    - Coche Afficher les fichiers et dossiers cachés
    - Décoche Masquer les extensions des fichiers dont le type est connu
    - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.


    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\wxhsq.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Egalement le lien.
    0
  18. LabsGlawd Messages postés 132 Statut Membre 6
     
    Le probleme est qu'internet n'est pas disponible sur l'ordinateur infecté ?
    0
  • 1
  • 2