Trojan-Spy.Win32
Résolu
yvesl1954
Messages postés
29
Date d'inscription
Statut
Membre
Dernière intervention
-
truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention -
truecode Messages postés 2092 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je me trouve actuellement chez un amis qui visiblement rencontre pas mal de problèmes avec son ordinateur.
aux dernières nouvelles son antivirus lui détecte le trojan cité dans le titre.
L'ordinateur rame plutôt pas mal, et ce n'est pas un pro de l'informatique.
un petit coup de main de votre part serais fort sympathique!
Je le laisse donc entre vos mains,
Merci d'avance.
Je me trouve actuellement chez un amis qui visiblement rencontre pas mal de problèmes avec son ordinateur.
aux dernières nouvelles son antivirus lui détecte le trojan cité dans le titre.
L'ordinateur rame plutôt pas mal, et ce n'est pas un pro de l'informatique.
un petit coup de main de votre part serais fort sympathique!
Je le laisse donc entre vos mains,
Merci d'avance.
A voir également:
- Trojan-Spy.Win32
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan sms-par google ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- Csrss.exe trojan - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
54 réponses
bjr
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:12:13, 12/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: LSDBOT-III | Utilisateur actuel: yves
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\DOCUME~1\yves\APPLIC~1\Mozilla\FireFox\Profiles\9dp2auzn.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\AskBarDis
C:\Program Files\AskSearch
(!) -- Fichiers temporaires supprimés.
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{C94E154B-1459-4A47-966B-4B843BEFC7DB}
HKLM\software\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
Nom du profil: 9dp2auzn.default (yves)
.
(yves, prefs.js) Browser.download.dir, D:\Downloads
(yves, prefs.js) Browser.download.lastDir, C:\Documents and Settings\yves\Recent2
(yves, prefs.js) Browser.search.selectedEngine, Live Search
(yves, prefs.js) Browser.startup.homepage, hxxp://fr.msn.com/
(yves, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,jqs@sun.com:1.0,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
(yves, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Search Asst: no
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
4776 Octet(s) - C:\Ad-Report-CLEAN[1].log
5179 Octet(s) - C:\Ad-Report-SCAN[1].log
.
7 Fichier(s) - C:\DOCUME~1\yves\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
18 Fichier(s) - C:\Ad-Remover\BACKUP
34 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 11:21:40 | 12/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:12:13, 12/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: LSDBOT-III | Utilisateur actuel: yves
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\DOCUME~1\yves\APPLIC~1\Mozilla\FireFox\Profiles\9dp2auzn.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\AskBarDis
C:\Program Files\AskSearch
(!) -- Fichiers temporaires supprimés.
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{C94E154B-1459-4A47-966B-4B843BEFC7DB}
HKLM\software\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
Nom du profil: 9dp2auzn.default (yves)
.
(yves, prefs.js) Browser.download.dir, D:\Downloads
(yves, prefs.js) Browser.download.lastDir, C:\Documents and Settings\yves\Recent2
(yves, prefs.js) Browser.search.selectedEngine, Live Search
(yves, prefs.js) Browser.startup.homepage, hxxp://fr.msn.com/
(yves, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,jqs@sun.com:1.0,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
(yves, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Search Asst: no
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
4776 Octet(s) - C:\Ad-Report-CLEAN[1].log
5179 Octet(s) - C:\Ad-Report-SCAN[1].log
.
7 Fichier(s) - C:\DOCUME~1\yves\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
18 Fichier(s) - C:\Ad-Remover\BACKUP
34 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 11:21:40 | 12/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.
bjr
voici les 2 fichiers demandés, par contre le fichier "info" est à la date d'hier????
http://www.cijoint.fr/cjlink.php?file=cj201003/cijlp2cKG3.txtbjr
http://www.cijoint.fr/cjlink.php?file=cj201003/cijG8eSgf5.txt
Merci
@+
voici les 2 fichiers demandés, par contre le fichier "info" est à la date d'hier????
http://www.cijoint.fr/cjlink.php?file=cj201003/cijlp2cKG3.txtbjr
http://www.cijoint.fr/cjlink.php?file=cj201003/cijG8eSgf5.txt
Merci
@+
Bonjour,
•Lance hijackthis
•Choisis "Do a scan only"
•Coche la case devant les lignes suivantes :
•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
•Clique sur "Fix checked".
•Ferme Hijackthis.
•Lance hijackthis
•Choisis "Do a scan only"
•Coche la case devant les lignes suivantes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q=%s R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
•Clique sur "Fix checked".
•Ferme Hijackthis.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Ok, j'ai fait la manipulation
que dois je faire maintenant ?
J'ai aussi une directorie qui s'est rajouté depuis le 08/03 ( je n'arrive pas à le supprimer) et je ne sais ce que c'est :
64cf875ae089064d5743e6b1d
et lorsque je clique dessus les fichiers si dessous s'affichent :
dotnetfx20
dotnetfx30
dotnetfx35
tools
Encore merci
@+
Ok, j'ai fait la manipulation
que dois je faire maintenant ?
J'ai aussi une directorie qui s'est rajouté depuis le 08/03 ( je n'arrive pas à le supprimer) et je ne sais ce que c'est :
64cf875ae089064d5743e6b1d
et lorsque je clique dessus les fichiers si dessous s'affichent :
dotnetfx20
dotnetfx30
dotnetfx35
tools
Encore merci
@+
On va refaire la manip puis nettoyer les fichiers temporaires
•Lance hijackthis
•Choisis "Do a scan only"
•Coche la case devant les lignes suivantes :
•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
•Clique sur "Fix checked".
•Ferme Hijackthis.
Toolcleaner est un outil qui va permettre de supprimer les programmes utilisés durant la désinfection.
•Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton Bureau
•Double-clique sur ToolsCleaner2.exe et laisse le travailler
•Clique sur Recherche et laisse le scan se terminer.
•Clique sur Suppression pour finaliser.
•Tu peux, si tu le souhaites, te servir des Options facultatives.
•Clique sur Quitter, pour que le rapport puisse se créer.
•Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse
Puis tu peux faire un nettoyage des fichiers temporaires avec ccleaner : https://www.malekal.com/tutoriel-ccleaner/
•Lance hijackthis
•Choisis "Do a scan only"
•Coche la case devant les lignes suivantes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
•Clique sur "Fix checked".
•Ferme Hijackthis.
Toolcleaner est un outil qui va permettre de supprimer les programmes utilisés durant la désinfection.
•Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton Bureau
•Double-clique sur ToolsCleaner2.exe et laisse le travailler
•Clique sur Recherche et laisse le scan se terminer.
•Clique sur Suppression pour finaliser.
•Tu peux, si tu le souhaites, te servir des Options facultatives.
•Clique sur Quitter, pour que le rapport puisse se créer.
•Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse
Puis tu peux faire un nettoyage des fichiers temporaires avec ccleaner : https://www.malekal.com/tutoriel-ccleaner/
bonsoir
les fichiers R1hklm
R1hkcu
et R3 et O3 n'existe pas dans hijackthis
j'ai egalement fait toolscleaner le rapport est vide
ces fichiers
dotnetfx20
dotnetfx30
dotnetfx35
tools
se trouvent sous D car mon disque dur est partagé en C et D
lorsque je veux les supprimer message asnet.msp acces refusé
merci encore
A+
les fichiers R1hklm
R1hkcu
et R3 et O3 n'existe pas dans hijackthis
j'ai egalement fait toolscleaner le rapport est vide
ces fichiers
dotnetfx20
dotnetfx30
dotnetfx35
tools
se trouvent sous D car mon disque dur est partagé en C et D
lorsque je veux les supprimer message asnet.msp acces refusé
merci encore
A+
Bonjour ,
Ce sont des fichiers temporaires liés à l'installation de :
.Net Framework 2.0
.Net Framework 3.0
.Net Framework 3.5
D'où leur nom.
Si tu vas vas dans "ajout/suppression", tu verras que ces 3 programmes sont
installés.
Rem : il est inutile d'installer ces programmes si un autre logiciel ne les
demande pas.
Un logiciel que tu as installé a sans doute besoin des .Net Frameworks
Ce sont des fichiers temporaires liés à l'installation de :
.Net Framework 2.0
.Net Framework 3.0
.Net Framework 3.5
D'où leur nom.
Si tu vas vas dans "ajout/suppression", tu verras que ces 3 programmes sont
installés.
Rem : il est inutile d'installer ces programmes si un autre logiciel ne les
demande pas.
Un logiciel que tu as installé a sans doute besoin des .Net Frameworks
bonjour
j'avais Net Framework 2.0 je l'ai supprimer
mais impossible de supprimer la directorie sous D \ 64cf875ae089064d5743e6b1d
et lorsque je clique dessus les fichiers pour les supprimer si dessous s'affichent :
dotnetfx20 aspnet.msp acces refusé
dotnetfx30 netfx30a_x86.exe acces refusé
dotnetfx35 netfx35_x86.msi acces refusé
tools clwireg acces refusé
merci encore
a+
j'avais Net Framework 2.0 je l'ai supprimer
mais impossible de supprimer la directorie sous D \ 64cf875ae089064d5743e6b1d
et lorsque je clique dessus les fichiers pour les supprimer si dessous s'affichent :
dotnetfx20 aspnet.msp acces refusé
dotnetfx30 netfx30a_x86.exe acces refusé
dotnetfx35 netfx35_x86.msi acces refusé
tools clwireg acces refusé
merci encore
a+
bonjour
meme en relancant ccleaner il nettoie c\ mais pas d\
cette directorie n'est pas infectée
merci
meme en relancant ccleaner il nettoie c\ mais pas d\
cette directorie n'est pas infectée
merci
