Sujet Précédent Sujet Suivant

Mon 2ème ordinateur infecté par TROJAN&Co

LabsGlawd Messages postés 132 Statut Membre -  
LabsGlawd Messages postés 132 Statut Membre -
Bonjour,
Bon , bah voilà même problème avec Trojan , j'ai d'ja installé Hijackthis et RSIT , je ferai un scan demain ! ;) ++
A voir également:

40 réponses

  • 1
  • 2
Réponse 1 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
Internet ne s'affiche plus , et l'ordinateur bug beaucoup ! ;) Voilà qq symptomes.
0
Réponse 2 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-05-29 16:21:47
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 27 GB (69%) free of 39 GB
Total RAM: 1534 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:58, on 29/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\yhafd78auhd.dll - {c6c7b2a1-00f3-42bd-f434-00aaba2c8953} - C:\WINDOWS\system32\yhafd78auhd.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [28408] C:\wxhsq.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/FR/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/241839bc229ed9782119/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O20 - Winlogon Notify: elrqkbk - C:\WINDOWS\SYSTEM32\elrqkbk.dll
O22 - SharedTaskScheduler: gsf87hfunf98398jd - {C6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\yhafd78auhd.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast!antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
0
Réponse 3 / 40
Utilisateur anonyme
 
Re,

Pour commencer:

Comment supprimer correctement les produits SYMANTEC

Désinstaller AVAST comment le faire proprement

▶ Telecharge et install UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

▶ Choisi l option 1 ( Recherche )

▶ Laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.
0
Réponse 4 / 40
arnold0.2 Messages postés 3 Statut Membre
 
slt gars tout se que je peux te dire c qu'il éxiste un anti-trojan qui s'appelle trojan remover cherche a l'intérieur de ce site mème la démo est disponible
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 40
Utilisateur anonyme
 
Re,

Slt gars tout se que je peux te dire c qu'il éxiste un anti-trojan qui s'appelle trojan remover cherche a l'intérieur de ce site mème la démo est disponible

OK , merci pour l'info ..

++
0
Réponse 6 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
ok ,thx , j'fais ça tt d'suite ;)
0
Utilisateur anonyme
 
Re,

Fait ce qui est marquer ICI

++
0
Réponse 7 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
Faut obligatoirement installer aswClear ?
0
Réponse 8 / 40
Utilisateur anonyme
 
Re,

OUI.
0
Réponse 9 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
Comment savoir quel avast désinstaller?
0
Réponse 10 / 40
Utilisateur anonyme
 
Re,

Fait sa :

Passe l'utilitaire de désinstallation d'avast

▶ Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
CCLEANER

▶ Lance-le. Va dans "Options" puis "Avancé",

▶ Tu décoches la case "Effacer uniquement les fichiers etc...".

▶ Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage.

▶ Tu vas dans "Registre", tu fais "Chercher des erreurs".

Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

▶ Un tuto ( aide )
0
Réponse 11 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
Et après , je fais usbfix?
0
Réponse 12 / 40
Utilisateur anonyme
 
Re,

Oui , mais tu fait les deux utilitaire de désinstallation , celui pour avast et celui de symantec.

Fait CCleaner et ensuite tu fais usbfix.

++
0
Réponse 13 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
Pour Symantec , c'est fait , et pour avast je ne sais pas qu'elle version choisir parmis la liste ?
0
Réponse 14 / 40
Utilisateur anonyme
 
Re,

Tu les fait toutes comme sa ...
0
Réponse 15 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
xD , ok! ;)
0
Réponse 16 / 40
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
yep,

cela ressemble a s'y méprendre a du mydoom
C:\WINDOWS\svhost.exe

je comprend pas trop comment Antivir ne vois pas ça!

cela dis,V-X,pour faire avancer notre recherche sur usbfix,peux-tu demander un scan vt sur
C:\wxhsq.exe

je te remercie d'avance

bonne continuation avec ton zlob et autres
;)
0
Réponse 17 / 40
Utilisateur anonyme
 
Re,

OKi pas de souci.....
0
Réponse 18 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
############################## [ UsbFix V3.026 | Scan ]

# User : Administrateur () # POSTE1
# Update on 26/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 19:07:03 | 29/05/2009

# Intel(R) Pentium(R) 4 CPU 3.06GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 38,29 Go (27,31 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 970,12 Mo (961,47 Mo free) [FLASH DISK] # FAT
# F:\ # Disque fixe local # 153,31 Go (131,46 Go free) [Q! M3 160GO] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.google.com/?gws_rd=ssl"
HKCU_Main: "Start Page"="https://www.orange.fr/portail"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: 28408=C:\wxhsq.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

################## [ Fichiers # Dossiers infectieux ]

Found ! "C:\Program Files\ThunMail\testabd.dll"
Found ! "C:\Program Files\ThunMail"
Found ! C:\lsass.exe
Found ! C:\lsass.exe
E:\autorun.inf # -> fichier appelé : "E:\name\\\\\\\\\\\\less.exe" ( présent ! )
Found ! E:\autorun.inf
Found ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\windows nt\currentversion\winlogon "Taskman"
Found ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{8624886e-875c-11db-983b-00032f50e4c6}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{8624886e-875c-11db-983b-00032f50e4c6}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{89e94728-e6d0-11dc-9d6d-00032f50e4c6}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{a533632e-c306-11d9-94c8-00604c6b8799}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{a533632e-c306-11d9-94c8-00604c6b8799}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{a533632e-c306-11d9-94c8-00604c6b8799}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{f14ceb26-e3e8-11dd-a657-00032f50e4c6}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f14ceb26-e3e8-11dd-a657-00032f50e4c6}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{f14ceb26-e3e8-11dd-a657-00032f50e4c6}\Shell\open\Command

################## [ Informations # Fichier Suspect ]

################## [ Cracks # Keygens # Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.026 ! ]
0
Réponse 19 / 40
Utilisateur anonyme
 
Re,

Clique sur le menu Demarrer / Panneau de configuration / Options des dossiers / puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\wxhsq.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Egalement le lien.
0
Réponse 20 / 40
LabsGlawd Messages postés 132 Statut Membre 6
 
Le probleme est qu'internet n'est pas disponible sur l'ordinateur infecté ?
0