Sujet Précédent Sujet Suivant

Aidez moi : trojans + trackings, merci

Résolu/Fermé
jjullien - 23 oct. 2009 à 22:31
 jjjulllien - 24 oct. 2009 à 12:15
Bonjour,
avira m adetecté des trojans : TR/Agent.AG.928 et TR/Dldr.Renos.81408BG
apparemment, il a reussi a les supprimer.
et AVG m a detecté des tracking cookies.

je navigue sur internet et je m apercois que dans mon historique il y a plein des sites pour adultes inscrit dessus alors que je suis seul a me servir de l ordi et que je n ai pas visité ces sites. apres avoir vidé l historique, cookies ..., je m apercois que ces sites reviennent sur mon ordi alors que AVG et AVIRA ne detectent rien.
alors j ai fais un scan en ligne sur Panda et la, ca me donne un Trojan qu il a reussi a "desinfecter" ( Trj/Deldir.A ) c:\windows\system32\oem\cleanup.cmd
et des trackingcooking et surtout des fichiers suspects dont c:\users\julien\appdata\local\temp\d.exe
Hier, Antivir avait detecté un trojan a l emplacement c:\users\julien\appdata\local\temp\a.exe et j avais reussi a le supprimer, mais la le ...d.exe mon ordi me dis qu il est en cours d execution.
j ai fait une analyse en ligne panda et il m en detecte encore

je peux vous poster aussi les rapports Hijack, AVG et Panda si ca peux faire avancer, en esperant que vous puissiez m aider
MERCI!

37 réponses

  • 1
  • 2
Réponse 1 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
23 oct. 2009 à 22:59
Salut, commence par ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
0
Réponse 2 / 37
jjjulllien
23 oct. 2009 à 23:08
https://www.cjoint.com/?kxxhvKCz3O

voila ce que ca donne

merci de me tenir au courant
0
Réponse 3 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
23 oct. 2009 à 23:09
-+-+-+-> Lop S&D <-+-+-+-


[x] Télécharge Lop S&D (par Eric_71 & Angeldark) à cette adresse : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

[x] /!\ Désactive les protections résidentes : Antivirus, antispywares, controleurs d'intégrité, etc... pour que l'outil puisse s'exécuter correctement.

[x] Double clique sur " LopSD.exe " ( Vista : Clique droit -> Executer en tant qu'administrateur )

[x] Choisis l'option F pour français

[x] Ensuite, Choisis l'option 1 ( Recherche )

[x] Laisse l'outil travailler

[x] Copie/Colle le contenu du rapport qui s'ouvrira et poste le dans ton prochain message.


-+-+-+-> Toolbar S&D <-+-+-+-


[x]Télécharge Toolbar S&D sur ton bureau

[x] Suis le tutoriel disponible à cette adresse

[x] Lance l'option 2 ( Suppression )

[x] Puis copie/colle le rapport dans ton prochain message ( Il se trouve sous C:\TB.txt )
0
Réponse 4 / 37
jjjulllien
23 oct. 2009 à 23:25
Lop S&D ne marche pas, je fais ce que tu me dis mais quand je presse entrer apres le choix1, je vois furtivement une fenetre avec fond rouge ou il y a ecrit please wait, puis elle se ferme
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
23 oct. 2009 à 23:26
[x] Afin d'éviter les problèmes liés à vista lors de l'utilisation d'outils spécifique :

[x] Désactive l'UAC (Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le)

[x] Lance tous les programmes en cliquant droit dessus puis -> Executer en tant qu'administrateur
0
jjjulllien
23 oct. 2009 à 23:32
pareil, la fenetre se ferme et rien ne se passe sous lopsd
0
Réponse 6 / 37
jjjulllien
23 oct. 2009 à 23:34
je lance quand meme toolbarsd?
0
Réponse 7 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
23 oct. 2009 à 23:36
Oui, lance toolbar S&D
0
Réponse 8 / 37
jjjulllien
23 oct. 2009 à 23:37
pareil que lopsd
0
Réponse 9 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
23 oct. 2009 à 23:38
Pas de rapports sous C:\ ?
0
Réponse 10 / 37
jjjulllien
23 oct. 2009 à 23:40
-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Basique ( v6.0.6001 ) Service Pack 1
x64-based PC ( Multiprocessor Free : Pentium(R) Dual-Core CPU E5200 @ 2.50GHz )
BIOS : Default System BIOS
USER : julien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:141 Go (Free:85 Go)
D:\ (Local Disk) - NTFS - Total:141 Go (Free:141 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 23/10/2009|23:37 )

[ UAC => 0 ]
0
Réponse 11 / 37
jjjulllien
23 oct. 2009 à 23:46
le probleme se trouve sur ma session et pas sur l autre.
est ce que si je supprime ma session, je resouds les problemes ou est ce que ca se deplace ailleur?
0
Réponse 12 / 37
jjjulllien
23 oct. 2009 à 23:58
il y a un fichier lopR qui s est créé dans c:/



--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Basique ( v6.0.6001 ) Service Pack 1
x64-based PC ( Multiprocessor Free : Pentium(R) Dual-Core CPU E5200 @ 2.50GHz )
BIOS : Default System BIOS
USER : julien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:141 Go (Free:85 Go)
D:\ (Local Disk) - NTFS - Total:141 Go (Free:141 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 23/10/2009|23:57 )

[ UAC => 0 ]

--------------------\\ Listing des dossiers dans Local

[21/10/2009|15:43] C:\Users\julien\AppData\Local\Adobe
[15/10/2009|12:24] C:\Users\julien\AppData\Local\Application Data
[18/10/2009|17:04] C:\Users\julien\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[21/10/2009|15:42] C:\Users\julien\AppData\Local\dd_vcredistMSI0EBD.txt
[21/10/2009|15:42] C:\Users\julien\AppData\Local\dd_vcredistUI0EBD.txt
[21/10/2009|15:08] C:\Users\julien\AppData\Local\GDIPFONTCACHEV1.DAT
[23/10/2009|14:42] C:\Users\julien\AppData\Local\Google
[15/10/2009|12:24] C:\Users\julien\AppData\Local\Historique
[23/10/2009|23:27] C:\Users\julien\AppData\Local\IconCache.db
[23/10/2009|23:17] C:\Users\julien\AppData\Local\Microsoft
[14/09/2009|15:58] C:\Users\julien\AppData\Local\Microsoft Help
[15/10/2009|13:49] C:\Users\julien\AppData\Local\Mozilla
[23/10/2009|23:33] C:\Users\julien\AppData\Local\Temp
[15/10/2009|12:24] C:\Users\julien\AppData\Local\Temporary Internet Files
[23/10/2009|16:14] C:\Users\julien\AppData\Local\VirtualStore

--------------------\\ Tâches planifiées dans C:\Windows\tasks

[23/10/2009 23:51][--ah-----] C:\Windows\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
[23/10/2009 23:05][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{FBD023AE-5B61-4AB9-A9AF-6E21D701B391}.job
[23/10/2009 22:13][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{E21996F6-1B45-4B55-9892-EA1F7F92EA0B}.job
[23/10/2009 23:28][--ah-----] C:\Windows\tasks\SA.DAT
[23/10/2009 23:27][--a------] C:\Windows\tasks\SCHEDLGU.TXT

--------------------\\ Listing des dossiers dans C:\ProgramData

[21/10/2009|14:32] C:\ProgramData\Adobe
[02/11/2006|17:35] C:\ProgramData\Application Data
[21/10/2009|15:46] C:\ProgramData\Avira
[11/09/2009|20:08] C:\ProgramData\Bureau
[18/09/2009|21:56] C:\ProgramData\CanonBJ
[02/11/2006|17:35] C:\ProgramData\Desktop
[02/11/2006|17:35] C:\ProgramData\Documents
[11/09/2009|20:08] C:\ProgramData\Favoris
[02/11/2006|17:35] C:\ProgramData\Favorites
[21/10/2009|16:29] C:\ProgramData\FLEXnet
[12/09/2009|22:44] C:\ProgramData\Google
[15/09/2009|20:23] C:\ProgramData\McAfee
[13/09/2009|14:21] C:\ProgramData\McAfee Security Scan
[11/09/2009|20:08] C:\ProgramData\Menu D‚marrer
[23/10/2009|14:16] C:\ProgramData\Microsoft
[21/10/2009|17:49] C:\ProgramData\Microsoft Help
[11/09/2009|20:08] C:\ProgramData\ModŠles
[27/06/2009|01:14] C:\ProgramData\Nero
[12/09/2009|22:39] C:\ProgramData\Norton
[05/05/2009|15:17] C:\ProgramData\NortonInstaller
[23/10/2009|23:52] C:\ProgramData\ntuser.pol
[27/06/2009|01:05] C:\ProgramData\NVIDIA
[23/10/2009|13:42] C:\ProgramData\Spyware Terminator
[02/11/2006|17:35] C:\ProgramData\Start Menu
[14/09/2009|16:04] C:\ProgramData\Symantec
[27/06/2009|01:08] C:\ProgramData\Temp
[02/11/2006|17:35] C:\ProgramData\Templates
0
Réponse 13 / 37
jjjulllien
24 oct. 2009 à 00:46
Le probleme se trouve sur ma session et pas sur l autre.
est ce que si je supprime ma session, je resouds les problemes ou est ce que ca se deplace ailleur?
0
Réponse 14 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
24 oct. 2009 à 10:08
Ca changera rien à l'infection, puisqu'elle sera toujours présente sur ton PC.

Fais ceci :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message
0
Réponse 15 / 37
jjjulllien
24 oct. 2009 à 10:08
me revoila
0
Réponse 16 / 37
jjjulllien
24 oct. 2009 à 10:48
voila ce qu il me dit
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3023
Windows 6.0.6001 Service Pack 1

24/10/2009 10:44:42
mbam-log-2009-10-24 (10-44-33).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 262256
Temps écoulé: 32 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
0
Réponse 17 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
24 oct. 2009 à 10:49
Il faut que tu supprimes tout ça, comme je te l'ai indiqué :

" [x] Coche bien tout les éléments trouvés et supprime les ! "
0
Réponse 18 / 37
jjjulllien
24 oct. 2009 à 10:50
ca y est c est fait et j ai redemaré

je relance l analyse?
0
Réponse 19 / 37
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
24 oct. 2009 à 10:52
Refais un scan rapide cette fois, puis reposte un log ZHPDiag
0
Réponse 20 / 37
jjjulllien
24 oct. 2009 à 11:02
malware ne detecte rien et ZHP me dit ca


https://www.cjoint.com/?kylbQeBiOG
0