Cheval de troie actif ?

Résolu/Fermé
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 - 14 oct. 2009 à 19:18
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 - 16 oct. 2009 à 20:47
Bonjour,
J'ai antivir. Il m'a trouvé un objet sur mon PC (1 cheval de Troie) et l'a mis en quarantaine. Je voudrais savoir si le virus est encore actif ou non, car je rencontre encore des problèmes sur mon PC alors que je n'ai plus aucune autre infection.
S'il est encore actif, comment l'enlevé ?
Merci

16 réponses

Utilisateur anonyme
14 oct. 2009 à 19:22
Bonjour

• Télécharge : http://images.malwareremoval.com/random/RSIT.exe
/!\ Important (Sous Vista) /!\
Vous devez exécuter RSIT avec les droits d'administrateur, pour cela Clique droit sur RSIT et "Lancer en tant qu'administrateur"
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur 'Continue' à l'écran Disclaimer.
• Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.
( C:\RSIT\log.txt et C:\RSIT\info.txt )
• CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller
0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
14 oct. 2009 à 19:24
J'ai windows 2000, sa marche quand meme ? (au fait, merci d'avoir répondu :) )
0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
14 oct. 2009 à 19:27
Logfile of random's system information tool 1.06 (written by random/random)
Run by Pascal at 2009-10-14 19:26:49
Microsoft Windows 2000 Professionnel Service Pack 4
System drive C: has 3 GB (15%) free of 19 GB
Total RAM: 254 MB (24% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:16, on 14/10/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT1\System32\smss.exe
C:\WINNT1\system32\winlogon.exe
C:\WINNT1\system32\services.exe
C:\WINNT1\system32\lsass.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT1\system32\svchost.exe
C:\WINNT1\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINNT1\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINNT1\system32\MSTask.exe
C:\WINNT1\System32\tcpsvcs.exe
C:\WINNT1\system32\stisvc.exe
C:\WINNT1\System32\WBEM\WinMgmt.exe
C:\WINNT1\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAMSUNG\FW LiveUpdate\FWManager.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
E:\start.app\Contents\PidginPortable\App\Pidgin\pidgin-portable.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT1\explorer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realevent.exe
C:\Program Files\Avira\AntiVir Desktop\update.exe
C:\Documents and Settings\Pascal.PASCAL-HV50K7ED\Mes documents\Downloads\RSIT.exe
C:\Documents and Settings\Pascal.PASCAL-HV50K7ED\Mes documents\Téléchargements\Pascal.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT1\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT1\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Name of App] C:\Program Files\SAMSUNG\FW LiveUpdate\FWManager.exe r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [FileHippo.com] "C:\Documents and Settings\Pascal.PASCAL-HV50K7ED\Bureau\FileHippo.com\UpdateChecker.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT1\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT1\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {63308B48-F435-42FD-AB0A-3564C7BEF9D7} (Toontown IE Helper French) - https://iplay.fr.toontown.com/download/sv1.5.26.8/ttinst-french.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7EED9A13-A696-46E3-8888-09CDE606B3D1} (CDownloader Object) - http://a69.g.akamai.net/...
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINNT1\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT1\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O24 - Desktop Component 1: (no name) - C:\Documents and Settings\Pascal.PASCAL-HV50K7ED\Bureau\tro bete.html
0
Utilisateur anonyme
14 oct. 2009 à 19:33
• Bonjour

• Télécharge et installe : Malwarebyte’s Anti-Malware
• (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
• Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
15 oct. 2009 à 21:06
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2920
Windows 5.0.2195 Service Pack 4

15/10/2009 21:01:43
mbam-log-2009-10-15 (21-01-43).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 195176
Temps écoulé: 2 hour(s), 3 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Utilisateur anonyme
15 oct. 2009 à 21:23
* Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ (de OldTimer) sur ton Bureau
* Double-clique sur OTMoveIt.exe pour le lancer.
* Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
* copie la liste en gras ci-dessous et colle la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.



:processes
explorer.exe



:files
c:\documents and settings\pascal~1.pas\locals~1\temp\mbr.sys


:commands
[emptytemp]
[purity]
[start explorer]
[reboot]




-----------------------------

* clique sur MoveIt! pour lancer la suppression.
* Le résultat apparaitra dans le cadre "Results".
* Clique sur Exit pour fermer.
* Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
* Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
16 oct. 2009 à 17:09
J'ai un virus ??
Merci pour vos reponses !! :)
0
Utilisateur anonyme
16 oct. 2009 à 17:50
Si tu fait otmovelt non.Post le rapport
0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
16 oct. 2009 à 18:17
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder c:\documents and settings\pascal~1.pas\locals~1\temp\mbr.sys not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: All Users.WINNT1

User: caro
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User.WINNT1
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Pascal
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Pascal.PASCAL-HV50K7ED
->Temp folder emptied: 33277137 bytes
->Temporary Internet Files folder emptied: 69073057 bytes
->Java cache emptied: 14217 bytes
->FireFox cache emptied: 65985262 bytes

User: PASCAL~1~PAS

%systemdrive% .tmp files removed: 0 bytes
C:\WINNT1\msdownld.tmp folder deleted successfully.
C:\WINNT1\msiinst.tmp folder deleted successfully.
%systemroot% .tmp files removed: 1471575 bytes
%systemroot%\System32 .tmp files removed: 32256 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: shell32.dll unable to determine bytes removed.

Total Files Cleaned = 162,02 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10162009_180414

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Utilisateur anonyme
16 oct. 2009 à 18:27
Relances OtmoveIT mais cette fois en mode sans échec.Avec le même script.En mode sans tu n'as pas acces a internet .copie /colle le script dans le bloc note.De cette façon tu retrouveras ton script.

:processes
explorer.exe



:files
c:\documents and settings\pascal~1.pas\locals~1\temp\mbr.sys


:commands
[emptytemp]
[purity]
[start explorer]
[reboot]

0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
16 oct. 2009 à 18:47
Et commment passe t'on en mode sans echec ?? Il faut juste que je ferme internet ??
0
Utilisateur anonyme
16 oct. 2009 à 18:53
Redémarre en mode sans échec
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode
0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
16 oct. 2009 à 19:48
All processes killed
========== PROCESSES ==========
Unable to kill active process explorer.exe!
========== FILES ==========
File/Folder c:\documents and settings\pascal~1.pas\locals~1\temp\mbr.sys not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: All Users.WINNT1

User: caro
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User.WINNT1
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Pascal
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Pascal.PASCAL-HV50K7ED
->Temp folder emptied: 790 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 9905187 bytes

User: PASCAL~1~PAS

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: shell32.dll unable to determine bytes removed.

Total Files Cleaned = 9,51 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10162009_194110

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Utilisateur anonyme
16 oct. 2009 à 20:07
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l’ extension de sécurité suivantes : adblock plus
pour bloquer les publicités ;

• WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-------------------------------------------------------------------------------------------------------------------------

 Je conseille de mettre a jour internet explorer même si vous ne l’utilisé jamais. Les MAJ systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
• Télécharger IE8 : ici

• Si Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Si Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

* Un conseil : n'installe pas les BETA
====================================================
Pour éliminer les programmes de desinfections.

• Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pc-system.fr/
https://www.commentcamarche.net/telecharger/ 34055291 toolscleaner
• Clique sur Recherche et laisse le scan se terminer.
• Clique, sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).



Tu peux mettre ton problème résolu !!Comment mettre résolu ??


0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
16 oct. 2009 à 20:45
J'avais des virus ? Ils sont partis ? (je ne peux pas mettre internet exporer a jour, car la version 8 n'est pas disponible pour windows 2000)
0
Monkey56 Messages postés 176 Date d'inscription samedi 31 mai 2008 Statut Membre Dernière intervention 24 février 2010 5
16 oct. 2009 à 20:47
Merci beaucoup pour votre aide !!!
0