Cheval de troie TR/crypt-xpack-GEN

titomtom32 Messages postés 11 Statut Membre -  
titomtom32 Messages postés 11 Statut Membre -
Bonjour,
je suis infecté par le cheval de troie TR/crypt-pack-Gen avast me l'a trouvé une fois je l'ais mis en quarantaine mais a ma grande surprise rien.Je n'arrive plus a le retrouver,il est devenu invisible,j'ai essayer avec antivir mais il ne le vois pas non plus.J'ai télécharger hijack mais je sais pas m'en servir vraiment en tout cas sa donne rien aidez moi svp je connais rien en informatique et j'arrive pas à le detruire
Configuration: Windows XP
Firefox 3.0.14

12 réponses

  1. fiston111 Messages postés 470 Statut Membre 76
     
    rassure moi, tu n'a pas mis les 2 ou 3 antivirus installé ensemble sur la meme machine????
    0
    1. azepik324
       
      pourquoi c grave dinstaler plusieur antivirus,g un cheval de troie moi aussi
      0
    2. titomtom32 Messages postés 11 Statut Membre > azepik324
       
      il faut pas installer plusieurs anti virus il se gêne mutuellement parait il
      0
    3. azepik324 > titomtom32 Messages postés 11 Statut Membre
       
      quesque je dois faire maintenan? et quel antivirus je dois enlever,j,en ais 5
      0
    4. azepik324 > titomtom32 Messages postés 11 Statut Membre
       
      c,est lequel le meillieur g avast,avir spyware,et en plus un cheval de troie et sans savoir si je m,en suis debarasser
      0
    5. titomtom32 Messages postés 11 Statut Membre > azepik324
       
      je pense avast c'est le premier a me l'avoir trouvé alors qu'antivir ne trouvait rien
      0
  2. titomtom32 Messages postés 11 Statut Membre
     
    non j'ai enlevé antivir après avoir pris connaissance qu'on pouvait pas en mettre plusieurs,j'ai télécharger ton lien et j'ai supprimer un fichier très suspect mais il en reste un que je ne peux pas effacer.J'ai eu du mal a te repondre mon adresse email ne marchait plus j'ai du en crée une autre c'est la galère je ne pouvais meme pas cliquer sur ton lien pour te repondre
    0
  3. titomtom32 Messages postés 11 Statut Membre
     
    mais je ne comprends pas bien l'anglais
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. titomtom32 Messages postés 11 Statut Membre
     
    voici le scan hijack si sa peut aider
    Scan saved at 03:50:30, on 30/09/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fighters\configservice.exe
    C:\Program Files\Fighters\licenseservice.exe
    C:\Program Files\Fighters\updateservice.exe
    C:\Program Files\Fighters\ScannerService.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\ALCWZRD.EXE
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
    c:\program files\fighters\spywarefighter\SPYWAREfighterTray.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par IE 8 FOURNI PAR 01NET.COM
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
    O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
    O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe
    O4 - HKLM\..\Run: [@RegRunOnSecure] C:\PROGRA~1\Greatis\REGRUN~1\OnSecure.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
    O4 - HKCU\..\Run: [Registry] "C:\Program Files\Greatis\RegRunSuite\lsoon.exe" -1 30 "C:\Program Files\Greatis\RegRunSuite\rescue.exe" /a "c:\backreg\rstore.ini"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: PTK License-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\licenseservice.exe
    O23 - Service: PTK Live Update-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\updateservice.exe
    O23 - Service: PTK Scanner-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\ScannerService.exe
    O23 - Service: PTK SharedAccess-FIGHTERS-297811811 - SPAMfighter - C:\Program Files\Fighters\configservice.exe
    0
  6. fabul Messages postés 42130 Date d'inscription   Statut Modérateur Dernière intervention   6 061
     
    http://www.hijackthis.de/fr
    0
  7. titomtom32 Messages postés 11 Statut Membre
     
    je suis allé voir sur le lien hijack mais sa me permet juste d analyser qu'est ce que je dois faire maintenant svp
    0
  8. fabul Messages postés 42130 Date d'inscription   Statut Modérateur Dernière intervention   6 061
     
    Tu n'a pas renommé l'exécxuteble HiJackThis.exe renomme le,c'est mieux.

    et tu peux effaçer cette ligne en faisant fix checked

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

    Inscription superflue (car sans effet) qui peut donc être effacée ! LinkScannerIE.dll - LinkScanner, http://linkscanner.explabs.com/linkscann er/default.asp
    0
  9. titomtom32 Messages postés 11 Statut Membre
     
    J'ai hijack this mais je ne sais pas ce qu'il faut faire pour renommer ni pourquoi et qu'est ce que fix checked dslé je suis vraiment une quiche en internet,je débute en plus ton lien ne marche pas
    0
  10. fabul Messages postés 42130 Date d'inscription   Statut Modérateur Dernière intervention   6 061
     
    le renommer
    tout simplement ,parce que les "créateurs" d infections connaissent hijackthis aussi bien que les helpers,aussi le faite de renommer hijackthis permet dans certains cas de mettre a jour une infection qu ils ont pris soin de cacher au scan
    (voici un exemple d infection"VUNDOS" se cachent au au lancement de hijackthis.exe et pas d un autre.exe) voila pourquoi nous allons renommer HIJACTHIS. exe en HJT.exe ou autre.

    le bouton fix checked
    c'est pour supprimer ce qui est coché.
    fait do a system scan only et coche la case a coté de la ligne.

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
    0
    1. titomtom32 Messages postés 11 Statut Membre
       
      quel ligne il y en a sur toute la page a cocher
      0
  11. fabul Messages postés 42130 Date d'inscription   Statut Modérateur Dernière intervention   6 061
     
    c'est justement ce que je t'ai indiqué

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
    0
    1. titomtom32 Messages postés 11 Statut Membre
       
      escuse sa y est
      0
  12. fred-27 Messages postés 3 Statut Membre
     
    effacer l entre et noublier pas que un processuce est toujour lancer avec donc renomer mdr
    0
    1. titomtom32 Messages postés 11 Statut Membre
       
      j'ai pigé que dalle a ton message mais c'est sympa de m'aider
      0