Aidez moi : trojans + trackings, merci

Résolu
jjullien -  
 jjjulllien -
Bonjour,
avira m adetecté des trojans : TR/Agent.AG.928 et TR/Dldr.Renos.81408BG
apparemment, il a reussi a les supprimer.
et AVG m a detecté des tracking cookies.

je navigue sur internet et je m apercois que dans mon historique il y a plein des sites pour adultes inscrit dessus alors que je suis seul a me servir de l ordi et que je n ai pas visité ces sites. apres avoir vidé l historique, cookies ..., je m apercois que ces sites reviennent sur mon ordi alors que AVG et AVIRA ne detectent rien.
alors j ai fais un scan en ligne sur Panda et la, ca me donne un Trojan qu il a reussi a "desinfecter" ( Trj/Deldir.A ) c:\windows\system32\oem\cleanup.cmd
et des trackingcooking et surtout des fichiers suspects dont c:\users\julien\appdata\local\temp\d.exe
Hier, Antivir avait detecté un trojan a l emplacement c:\users\julien\appdata\local\temp\a.exe et j avais reussi a le supprimer, mais la le ...d.exe mon ordi me dis qu il est en cours d execution.
j ai fait une analyse en ligne panda et il m en detecte encore

je peux vous poster aussi les rapports Hijack, AVG et Panda si ca peux faire avancer, en esperant que vous puissiez m aider
MERCI!
Configuration: Windows Vista
Firefox 3.5.3

37 réponses

  • 1
  • 2
Résumé de la discussion

Plusieurs signes indiquent une infection complexe sur Windows Vista où des trojans (TR/Agent.AG.928, TR/Dldr.Renos.81408BG, Trj/Deldir.A) et des cookies de suivi réapparaissent malgré des nettoyages effectués par des outils antivirus. Des réponses encouragent d'abord l'utilisation de ZHPDiag et RSIT, puis Malwarebytes et HijackThis pour identifier les éléments persistants, avec suppression manuelle des fichiers et des clés suspectes. Des éléments constatés incluent des exécutions en tâche planifiée, des clés Run et des dossiers temporaires isolés à une session utilisateur, des rapports indiquant Ad-remover et ZHPDiag, et répertoires suspects supprimés. D'autres éléments utiles précisent que la protection continue nécessite mises à jour régulières, pare-feu actif et vérification du profil utilisateur, afin d'éviter que des artefacts réapparaissent lors des sessions suivantes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut, commence par ceci :

    -+-+-+-> ZHPDiag <-+-+-+-

    [x] Télécharge ZHPDiag ( de Nicolas coolman ).

    [x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    [x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

    [x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    [x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    [x] Rend toi sur www.cjoint.com

    [x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

    [x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    [x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
    0
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    -+-+-+-> Lop S&D <-+-+-+-

    [x] Télécharge Lop S&D (par Eric_71 & Angeldark) à cette adresse : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

    [x] /!\ Désactive les protections résidentes : Antivirus, antispywares, controleurs d'intégrité, etc... pour que l'outil puisse s'exécuter correctement.

    [x] Double clique sur " LopSD.exe " ( Vista : Clique droit -> Executer en tant qu'administrateur )

    [x] Choisis l'option F pour français

    [x] Ensuite, Choisis l'option 1 ( Recherche )

    [x] Laisse l'outil travailler

    [x] Copie/Colle le contenu du rapport qui s'ouvrira et poste le dans ton prochain message.

    -+-+-+-> Toolbar S&D <-+-+-+-

    [x]Télécharge Toolbar S&D sur ton bureau

    [x] Suis le tutoriel disponible à cette adresse

    [x] Lance l'option 2 ( Suppression )

    [x] Puis copie/colle le rapport dans ton prochain message ( Il se trouve sous C:\TB.txt )
    0
  3. jjjulllien
     
    Lop S&D ne marche pas, je fais ce que tu me dis mais quand je presse entrer apres le choix1, je vois furtivement une fenetre avec fond rouge ou il y a ecrit please wait, puis elle se ferme
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    [x] Afin d'éviter les problèmes liés à vista lors de l'utilisation d'outils spécifique :

    [x] Désactive l'UAC (Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le)

    [x] Lance tous les programmes en cliquant droit dessus puis -> Executer en tant qu'administrateur
    0
    1. jjjulllien
       
      pareil, la fenetre se ferme et rien ne se passe sous lopsd
      0
  6. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Oui, lance toolbar S&D
    0
  7. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Pas de rapports sous C:\ ?
    0
  8. jjjulllien
     
    -----------\\ ToolBar S&D 1.2.9 XP/Vista

    Microsoft® Windows Vista™ Édition Familiale Basique ( v6.0.6001 ) Service Pack 1
    x64-based PC ( Multiprocessor Free : Pentium(R) Dual-Core CPU E5200 @ 2.50GHz )
    BIOS : Default System BIOS
    USER : julien ( Administrator )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:141 Go (Free:85 Go)
    D:\ (Local Disk) - NTFS - Total:141 Go (Free:141 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
    Option : [2] ( 23/10/2009|23:37 )

    [ UAC => 0 ]
    0
  9. jjjulllien
     
    le probleme se trouve sur ma session et pas sur l autre.
    est ce que si je supprime ma session, je resouds les problemes ou est ce que ca se deplace ailleur?
    0
  10. jjjulllien
     
    il y a un fichier lopR qui s est créé dans c:/

    --------------------\\ Lop S&D 4.2.5-0 XP/Vista

    Microsoft® Windows Vista™ Édition Familiale Basique ( v6.0.6001 ) Service Pack 1
    x64-based PC ( Multiprocessor Free : Pentium(R) Dual-Core CPU E5200 @ 2.50GHz )
    BIOS : Default System BIOS
    USER : julien ( Administrator )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:141 Go (Free:85 Go)
    D:\ (Local Disk) - NTFS - Total:141 Go (Free:141 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
    Option : [1] ( 23/10/2009|23:57 )

    [ UAC => 0 ]

    --------------------\\ Listing des dossiers dans Local

    [21/10/2009|15:43] C:\Users\julien\AppData\Local\Adobe
    [15/10/2009|12:24] C:\Users\julien\AppData\Local\Application Data
    [18/10/2009|17:04] C:\Users\julien\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [21/10/2009|15:42] C:\Users\julien\AppData\Local\dd_vcredistMSI0EBD.txt
    [21/10/2009|15:42] C:\Users\julien\AppData\Local\dd_vcredistUI0EBD.txt
    [21/10/2009|15:08] C:\Users\julien\AppData\Local\GDIPFONTCACHEV1.DAT
    [23/10/2009|14:42] C:\Users\julien\AppData\Local\Google
    [15/10/2009|12:24] C:\Users\julien\AppData\Local\Historique
    [23/10/2009|23:27] C:\Users\julien\AppData\Local\IconCache.db
    [23/10/2009|23:17] C:\Users\julien\AppData\Local\Microsoft
    [14/09/2009|15:58] C:\Users\julien\AppData\Local\Microsoft Help
    [15/10/2009|13:49] C:\Users\julien\AppData\Local\Mozilla
    [23/10/2009|23:33] C:\Users\julien\AppData\Local\Temp
    [15/10/2009|12:24] C:\Users\julien\AppData\Local\Temporary Internet Files
    [23/10/2009|16:14] C:\Users\julien\AppData\Local\VirtualStore

    --------------------\\ Tâches planifiées dans C:\Windows\tasks

    [23/10/2009 23:51][--ah-----] C:\Windows\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
    [23/10/2009 23:05][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{FBD023AE-5B61-4AB9-A9AF-6E21D701B391}.job
    [23/10/2009 22:13][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{E21996F6-1B45-4B55-9892-EA1F7F92EA0B}.job
    [23/10/2009 23:28][--ah-----] C:\Windows\tasks\SA.DAT
    [23/10/2009 23:27][--a------] C:\Windows\tasks\SCHEDLGU.TXT

    --------------------\\ Listing des dossiers dans C:\ProgramData

    [21/10/2009|14:32] C:\ProgramData\Adobe
    [02/11/2006|17:35] C:\ProgramData\Application Data
    [21/10/2009|15:46] C:\ProgramData\Avira
    [11/09/2009|20:08] C:\ProgramData\Bureau
    [18/09/2009|21:56] C:\ProgramData\CanonBJ
    [02/11/2006|17:35] C:\ProgramData\Desktop
    [02/11/2006|17:35] C:\ProgramData\Documents
    [11/09/2009|20:08] C:\ProgramData\Favoris
    [02/11/2006|17:35] C:\ProgramData\Favorites
    [21/10/2009|16:29] C:\ProgramData\FLEXnet
    [12/09/2009|22:44] C:\ProgramData\Google
    [15/09/2009|20:23] C:\ProgramData\McAfee
    [13/09/2009|14:21] C:\ProgramData\McAfee Security Scan
    [11/09/2009|20:08] C:\ProgramData\Menu D‚marrer
    [23/10/2009|14:16] C:\ProgramData\Microsoft
    [21/10/2009|17:49] C:\ProgramData\Microsoft Help
    [11/09/2009|20:08] C:\ProgramData\ModŠles
    [27/06/2009|01:14] C:\ProgramData\Nero
    [12/09/2009|22:39] C:\ProgramData\Norton
    [05/05/2009|15:17] C:\ProgramData\NortonInstaller
    [23/10/2009|23:52] C:\ProgramData\ntuser.pol
    [27/06/2009|01:05] C:\ProgramData\NVIDIA
    [23/10/2009|13:42] C:\ProgramData\Spyware Terminator
    [02/11/2006|17:35] C:\ProgramData\Start Menu
    [14/09/2009|16:04] C:\ProgramData\Symantec
    [27/06/2009|01:08] C:\ProgramData\Temp
    [02/11/2006|17:35] C:\ProgramData\Templates
    0
  11. jjjulllien
     
    Le probleme se trouve sur ma session et pas sur l autre.
    est ce que si je supprime ma session, je resouds les problemes ou est ce que ca se deplace ailleur?
    0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ca changera rien à l'infection, puisqu'elle sera toujours présente sur ton PC.

    Fais ceci :

    -+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-

    [x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    [x] Installe le.

    [x] Met le à jour.

    [x] Lance un scan complet !

    [x] Coche bien tout les éléments trouvés et supprime les !

    [x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    [x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message
    0
  13. jjjulllien
     
    voila ce qu il me dit
    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 3023
    Windows 6.0.6001 Service Pack 1

    24/10/2009 10:44:42
    mbam-log-2009-10-24 (10-44-33).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 262256
    Temps écoulé: 32 minute(s), 21 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
    0
  14. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Il faut que tu supprimes tout ça, comme je te l'ai indiqué :

    " [x] Coche bien tout les éléments trouvés et supprime les ! "
    0
  15. jjjulllien
     
    ca y est c est fait et j ai redemaré

    je relance l analyse?
    0
  16. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Refais un scan rapide cette fois, puis reposte un log ZHPDiag
    0
  • 1
  • 2