Trojan mahato.bhk win32

Dora l'exploratrice Messages postés 1076 Statut Membre -  
Dora l'exploratrice Messages postés 1076 Statut Membre -
Bonjour,

Kaspersky m'a détecté plusieurs fois un trojan (mahato.bhk win32) et je le supprime car il ne peu pas le réparer, le problème est, qu'il rentre a chaque redémarrage.

Kaspersky internet security 2011 a déjà réussi a me supprimer plusieurs autres infections, et je ne comprends pas pourquoi celui là, ne se supprime pas même si je le supprime tous les démarrages du pc.

La connexion est une clé 3g+ orange de 7 Mo,



--
Avant de poster, Chercher dans la Faq, elle est pleine !

32 réponses

  • 1
  • 2
  1. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    Peux-tu indiquer dans quel fichier l'infection est détectée ?
    0
  2. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Je ne sais pas, voici une capture de l'alerte qui apparait !
    http://cjoint.com/data/hwryjKhrJr_go.png

    Merci de m'indiquer quel logiciel utiliser pour supprimer ce cheval de troie.
    0
  3. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Cà ne m'aide pas trop.
    On va analyser ton PC :

    ● Télécharge ZHPDiag de Nicolas Coolman sur ton bureau

    ● Double clique sur le fichier téléchargé pour lancer l'installation

    ● Laisse toi guider pendant l'installation. Coche la case pour créer un raccourci sur le bureau et exécute ZHPDiag à la fin de l'installation

    ● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

    ● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

    ● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

    Aide en images
    0
  4. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    J'ai une faute 704.

    Hijackthis peut être suffit pour le rapport ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    A quel moment as-tu cette erreur ?

    Un rapport HijackThis ne listera pas tout.
    Essaie comme ceci :

    ● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

    ● Sous XP : Double clique sur ZHPDiag_silent.exe
    ● Sous Vista/7 : Fais un clic droit sur ZHPDiag_silent.exe et sélectionne "Exécuter en tant qu'administrateur"

    ● Patiente pendant le scan. Un rapport s'ouvrira à la fin.

    ● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

    Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
    0
  7. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201007/cij3vw1OE6.txt
    0
  8. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, tu as effectivement quelques trucs.

    Tout d'abord, ton fournisseur internet est Gnet ?

    Ensuite :

    ● Télécharge et enregistre le fichier sur ton bureau Ad-Remover

    ● Double clique sur AD-R.exe

    ● Au menu principal choisis l'option "Nettoyer"

    ● Patiente pendant que l'outil fait son travail

    ● Un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\Ad-report.log

    Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.
    0
  9. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Non, dans l'autre maison j'ai globalnet, mais là c orange 3g+.

    Comment tu as pu connaitre mon fournisseur ?

    pour le rapport ça sera pour demain.

    Merci
    0
  10. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Ton PC est configuré avec les serveurs de Gnet, pas ceux de Orange.
    0
  11. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Tu peux me dire comment configurer le pc a nouveau ? car j'ai déjà résilié mon contrat avec et j'ai oublié la manipulation a faire pour changer la configuration.
    0
  12. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Voici le rapport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 21/07/10 à 14:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:14:01 le 24/07/2010, Mode normal

    Microsoft Windows 7 Édition Intégrale (X86)
    CCMJ@AZIZTECH (Hewlett-Packard HP Compaq dx7400 Microtower)

    ============== ACTION(S) ==============

    0,Fichier supprimé: C:\Users\CCMJ\AppData\Roaming\Mozilla\FireFox\Profiles\qgjfi0ql.default\searchplugins\askcom.xml
    0,Dossier supprimé: C:\Program Files\Conduit

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\CCMJ\AppData\Roaming\Mozilla\FireFox\Profiles\qgjfi0ql.default\Prefs.js --
    Ligne supprimée: user_pref("CT2124320.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne supprimée: user_pref("CT2124320.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT212...
    Ligne supprimée: user_pref("CT2233703.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne supprimée: user_pref("CT2233703.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT223...
    -- Fichier Fermé --

    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2124320
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.7 (fr)] **

    -- C:\Users\CCMJ\AppData\Roaming\Mozilla\FireFox\Profiles\qgjfi0ql.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\CCMJ\\Pictures
    browser.search.selectedEngine, Bing
    browser.startup.homepage, www.google.com
    browser.startup.homepage_override.mstone, rv:1.9.2.7
    privacy.popups.showBrowserMessage, false

    -- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\bt5mij3i.default\Prefs.js --
    browser.startup.homepage, www.google.fr
    browser.startup.homepage_override.mstone, rv:1.9.2.6

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 24/07/2010 (3419 Octet(s))

    Fin à: 16:19:54, 24/07/2010

    ============== E.O.F ==============
    0
  13. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Ok, on va réinitialiser les DNS (paramètres internet) :

    ● Double clique sur ZHPFix qui présent sur ton bureau

    ● Clique sur l'icône représentant un H vert

    ● Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :

    O17 - HKLM\System\CCS\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55
    O17 - HKLM\System\CS1\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13
    O17 - HKLM\System\CS1\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55
    O17 - HKLM\System\CS2\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13
    


    ● Clique sur le bouton Tous puis sur Nettoyer

    ● Copie/colle le rapport qui apparaîtra à la fin

    Redémarre ton PC puis fais ceci :

    ● Télécharge Malwarebytes' Anti-Malware (MBAM)

    ● Double clique sur mbam-setup.exe pour lancer l'installation

    ● Laisse les options par défaut lors de l'installation

    ● Lance MBAM et laisse les Mises à jour se télécharger

    ● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
    Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

    ● A la fin du scan, clique sur Afficher les résultats

    ● Coche tous les éléments détectés puis clique sur Supprimer la sélection

    ● S'il t'est demandé de redémarrer, clique sur Yes

    ● Un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
    0
  14. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Rapport de ZHPFIX après le nettoyage de ces lignes !

    Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-24-07-2010-18-21-30.txt
    Run by CCMJ at 24/07/2010 18:21:30
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Elément(s) de donnée du Registre ==========
    O17 - HKLM\System\CCS\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13 => Donnée supprimée avec succès
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55 => Donnée supprimée avec succès
    O17 - HKLM\System\CS1\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13 => Donnée supprimée avec succès
    O17 - HKLM\System\CS1\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55 => Donnée supprimée avec succès
    O17 - HKLM\System\CS2\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13 => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    5 : Elément(s) de donnée du Registre

    End of the scan
    0
  15. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, maintenant le scan Malwarebytes.
    Tu as encore des alertes de ton antivirus ?
    0
  16. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4344

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    24/07/2010 22:32:04
    mbam-log-2010-07-24 (22-32-04).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 236209
    Temps écoulé: 3 heure(s), 30 minute(s), 28 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\ErrorRepairPro (Rogue.ErrorRepairProfessional) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  17. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, tu ne m'as pas dit, tu reçois encore des alertes ?

    Refais un rapport ZHPDiag comme ceci :

    ● Bouble clique sur ZHPDiag présent sur ton bureau

    ● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

    ● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

    ● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
    0
  18. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Ok, demain ça sera prêt.
    0
  19. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    Alors pour les alertes de Kaspersky ! rien a changé ! les deux chevaux de troie sont là encore ! plus de détails dans ces captures.

    1 - Types de l'infection : http://cjoint.com/data/hzpHEIiIwS_cheval.png
    2 - Emplacement 1 : http://cjoint.com/data/hzpIGjEjZ1_emplacement.png
    3 - Emplacement 2 : http://cjoint.com/data/hzpJBr3Pce_kabom.png
    0
  20. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Peux-tu aller dans l'onglet rapport pour avoir plus de détails STP.
    0
  21. Dora l'exploratrice Messages postés 1076 Statut Membre 74
     
    http://cjoint.com/data/hzuXJENy4v_gto.png
    0
  • 1
  • 2