Sujet Précédent Sujet Suivant

Troyen system 32

Fermé
NIL - 10 août 2005 à 22:35
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 27 août 2005 à 18:13
Bonsoir,

Suite à des soucis de connexion, j'ai fait un scan chez ravanvirus
et voilà le rapport, pouvez vous m'aider pour la suppression du fichier infecté, je ne sais lequel est à supprimer !

MErci d'avance

Scan started at 10/08/2005 22:02:04

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\services.exe - Backdoor:Win32/Prorat.1_9 -> Infected
C:\WINDOWS\system\sservice.exe - Backdoor:Win32/Prorat.1_9 -> Infected
C:\WINDOWS\system32\fservice.exe - Backdoor:Win32/Prorat.1_9 -> Infected
C:\WINDOWS\system32\incom.exe - Backdoor:Win32/Prorat.1_9 -> Infected
C:\WINDOWS\system32\reginv.dll - Backdoor:Win32/Prorat.1_91 -> Infected
C:\WINDOWS\system32\winkey.dll - Backdoor:Win32/Prorat.1_9 -> Infected

Scanned
============================
Objects: 32509
Directories: 2032
Archives: 1357
Size(Kb): 1292855
Infected files: 6

Found
============================
Viruses found: 2
Suspicious files: 0
Disinfected files: 0
Mail files: 28
A voir également:

12 réponses

Réponse 1 / 12
NIL
11 août 2005 à 09:40
Bonjour,

QQ pour m'aider svp ?

Merci d'avance
0
Réponse 2 / 12
NIL
11 août 2005 à 17:13
Bonjour

Je reviens :-)

MErci
0
Réponse 3 / 12
NIL
11 août 2005 à 20:29
Bonsoir

Je fais remonter à nouveau

Désolé vous etes surement bien occupé comme je peux le voir mais pouvez vous me dire ce que je dois supprimer de mon pc svp ??

Merci d'avance
0
Réponse 4 / 12
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
11 août 2005 à 20:34
szalut
tu as bien fait de le faire remonter
assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.

Et appliquer

ensuite recherche et suppr les fichiers en gras

:\WINDOWS\services.exe - Backdoor:Win32/Prorat.1_9 -> Infected
C:\WINDOWS\system\sservice.exe attention deux S
C:\WINDOWS\system32\fservice.exe

C:\WINDOWS\system32\incom.exe

C:\WINDOWS\system32\reginv.dll

C:\WINDOWS\system32\winkey.dll
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
NIL
11 août 2005 à 21:04
Merci Ball Trap pour la réponse, je vais essayer de faire tout cela !
0
Réponse 6 / 12
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
11 août 2005 à 21:26
oki tient nous au courant
0
_pierro Messages postés 6 Date d'inscription lundi 22 août 2005 Statut Membre Dernière intervention 27 août 2005
22 août 2005 à 21:49
bonjour a tous
balltrap34 je fait appel à toi sachant que tu a bonne réputation et que tu va surement pouvoir m'aider pour mon probleme du mm style que la personne du dessu

je m'explik et jexpose les faits:

j'ai chopé un virus averti par norton nommé par norton "backdoor.trojan"
apres cet avertissement , norton ne répondai plus du tt, les updates ne s'executant pa, les analyses du systeme non plu ,et auto protect ne s'execute pa au démarrage.

de ce fait, j'ai identifier le nom du virus étant "reginv.dll" dans windows/system32 (version xp pro sp2)
j'ai suivi tes conseil datant de 2004 en executant selon les procédures dllfix.exe
voila le résultat de output.txt :

--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

22/08/2005
21:14

System Info:

Microsoft Windows XP [version 5.1.2600]
C: "koxx" (EC80:0AB4) - FS:NTFS clusters:4k
Total: 137 427 943 424 [128G] - Free: 107 900 084 224 [100G]


*IE version and Service packs:
6.0.2900.2180 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.2180 C:\WINDOWS\system32\notepad.exe
5.1.2600.2180 C:\WINDOWS\notepad.exe
*Media Player version :
10.0.0.3646 C:\Program Files\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP2;



Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.


Scanning for main Hijacker:


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"Appinit_Dlls"=""

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9ECB9560-04F9-4bbc-943D-298DDF1699E1}]
@="Web assistant"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"


! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM



le virus reginv.dll n'étant pas mentionné ds le rapport, j'ai tout de mm essayé en le saisissant dans l'option 2 de dllfix.exe , mais en vain il ne le trouve pa !!

ensuite j'ai analyser avec addadware qui le trouve mais a chaque suppression il réaparai avec ses 7 objets critiques qui vont avec !!

ensuite jj'ai analyser avec CWshredder qui ne me trouve rien du tt.

de plus j'ai égallement essayer le mode ss echec et aussi les manips ds le paneau de config mentionné ci dessu ce qui ne donne rien.

voila je pense que je t'ai fait un bon résumé de mon probleme
a oui aussi pour préciser j'avai réinstaller norton 3 fois pour voir si il planterai plu ms ca change rien le virus le fait planter apparemment sur les analyse et les updates !!


merci de prendre mon probleme a coeur , je pense que tu est une des personnes les mieux placer sur ce site pour répondre a mon besoin ,
merci d'avance je te sui reconnaissant ,si tu as besoin d'info pour trouver une solution n'ésite surtt po a me le dire.

cordialement, pierro
0
Réponse 7 / 12
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 août 2005 à 22:26
il ne faut plus utiliser dllfix
leconcepteur ma contacter en demendent de ne plus l utiliser il est trop buguer
Avec le bloc-notes, ouvre le fichier : C: \WINDOWS\system32\drivers\etc\hosts
Dans la fenêtre, fais "Edition" > "Sélectionner tout" puis appuie sur la touche “retrait”.
Ensuite tapes ceci sur la première ligne : "127.0.0.1 localhost" (sans les guillemets)
Puis fais "Fichier" > "Enregistrer" et enfin redémarre.

Le fichier hosts ne doit plus contenir que :
127.0.0.1 localhost

et fait un hijack
0
_pierro Messages postés 6 Date d'inscription lundi 22 août 2005 Statut Membre Dernière intervention 27 août 2005
23 août 2005 à 12:33
merci bcp pour ta réponse balltrap , ms n'ayant que peu de connaissance en informatique ds ce domaine peut tu m'expliquer ce qu'est un hijack et comment cela fonctionne ( si par ex il faut un logiciel spécifique, etc...)

merci encore
pierro

a oui encore une chose lors de la saisie de "127.0.0.1 localhost"
faut-il mettre un espace entre les chiffre et localhost ?? parce ke g po envie davoir un plantage tu sé moi jy connai rien du tt !!!

merci a++
0
_pierro Messages postés 6 Date d'inscription lundi 22 août 2005 Statut Membre Dernière intervention 27 août 2005
23 août 2005 à 21:10
balltrap j'ai trouvé ta démo hijack merci encore jte fait un rapport au +vite....
0
Réponse 8 / 12
_pierro Messages postés 6 Date d'inscription lundi 22 août 2005 Statut Membre Dernière intervention 27 août 2005
23 août 2005 à 21:13
voila le rapport,merci encore pour ton aide !!!!!



Logfile of HijackThis v1.99.1
Scan saved at 21:09:37, on 23/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\KOXX\LOCALS~1\Temp\Rar$EX00.187\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23efa8bed8181001f320/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122173432202
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
0
Réponse 9 / 12
_pierro Messages postés 6 Date d'inscription lundi 22 août 2005 Statut Membre Dernière intervention 27 août 2005
23 août 2005 à 21:14
par contre je sé pas quoi cocher ds la seconde manip :(
0
Réponse 10 / 12
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 août 2005 à 21:43
salut pour le fichier host quand tu l ouvre tu doit voir cette premiere lignes
127.0.0.1 localhost
suppr le reste
redemarre
essai de faire l update de ton anti virus
'et refait un hijack
0
Réponse 11 / 12
_pierro Messages postés 6 Date d'inscription lundi 22 août 2005 Statut Membre Dernière intervention 27 août 2005
27 août 2005 à 14:32
salut balltrap merci encore pour ton aide
ms en fait ca ma soulé pour ce virus donc vu ke javai fait ttes mes sauvegardes jai formaté mon pc !! lol


mais encore merci tu ma apris pas mal de trucs !!!
c bon maintenant le pc tourne trop bien plus de merde mais heureusement que ya des gens comme toi sur la toile qui peuvent apporter du soutient aux gens (surtt ceux kon po mal de données et qui kon po sauvegardé

allé a+++
0
Réponse 12 / 12
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
27 août 2005 à 18:13
oki
a++
0

Discussions similaires

comment faire si on a un mail delivery system
angeldu5954 -
angeldu5954 -

5 réponses
Voxbone ? qui est-ce ?
fanfan54 -
djakool4 -

158 réponses
Supprimer un fichier ouvert dans systeme.
kakashiles -
yly -

12 réponses
missing operating system
sissy123 -
Utilisateur anonyme -

5 réponses
Ma messagerie est envahie de "mail delivery system"
noelotte -
Malekal_morte- -

2 réponses