cheval de troie 479

Question

Bonjour, 



un virus cheval de troie 479 a entré dans mon pc et je n'arrive pas a le supprimé.est-ce que vous pouvez m'aider.

crapoulou · Answer

Bonsoir,
Tu l'as vu rentré ?! :P

Quel logiciel de sécurité te le détecte ?
De quel fichier s'agit-il ?
Après quelle manipulation te l'a-t-il détecté ?

crapoulou · Answer

Quel est ton système d'exploitation ?

samara · Answer

windows xp.systéme32

crapoulou · Answer

Très bien. Pour établir un diagnostic plus en profondeur de ton PC : Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double clique sur RSIT.exe pour le lancer. * Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence. * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt.

samara · Answer

j'ai déjà télécharger Hijack This et voilà le rapport:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:46, on 10/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdnserv.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Lexmark 2600 Series\lxdnmon.exe
C:\Program Files\Lexmark 2600 Series\ezprint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LG Connection Manager\ConnectManager.exe
C:\Program Files\Real\RealPlayerealplay.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Trend Micro\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Program Files\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2600 Series\ezprint.exe"
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdnserv.exe
O23 - Service: lxdn_device -   - C:\WINDOWS\system32\lxdncoms.exe

crapoulou · Answer

Plutôt qu'Hijackthis, il me faudrait un rapport RSIT, comme demandé !

samara · Answer

d'accord je vais le faire.

crapoulou · Answer

Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr. 

Aide en images.

samara · Answer

voilà le lien :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijSSbEdd8.txt

http://www.cijoint.fr/cjlink.php?file=cj201008/cijyVNYNOK.txt

crapoulou · Answer

Très bien. ******** Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, ...) Télécharge et installe UsbFix de C_XX & El_Desaparecido : = = = = >>> En cliquant ici <<< = = = = Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir ! * Double clique sur le raccourci UsbFix présent sur ton bureau. * Clique sur le bouton Recherche * Laisse travailler l'outil. * Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaîtra. Notes : - Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum). - Si l'outil ne se lance pas, désactive ton antivirus le temps de la manipulation.

samara · Answer

voila le lien ou j'ai mis le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijDqfNT79.txt
et je te remercié infiniment des efforts que tu fais pour aider les gens.

crapoulou · Answer

Bien. Nettoyage avec UsbFix : Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir ! *Double clique sur le raccourci UsbFix présent sur ton bureau. * Clique sur le bouton Suppression * Ton bureau disparaîtra et le PC redémarrera. * Au redémarrage, UsbFix scannera ton PC. Laisse travailler l'outil. * Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaîtra avec le bureau. Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) ********* Télécharge Malwarebytes' Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d'installation - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l'icône de malwarebytes pour le relancer - Dans l'onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. - Rends toi dans l'onglet rapport/log - Tu clique dessus pour l'afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d'aide regarde ce tutorial https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

samara · Answer

voila le rapport Usbfix:

http://www.cijoint.fr/cjlink.php?file=cj201008/cij4MUq21v.txt

crapoulou · Answer

Très bien.

As-tu fait comme demandé ceci ?

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_XPSP2-A6D963109.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

samara · Answer

je l'ai déjà envoyé. je te remércie une autre fois pour tout ce que tu as fais pour moi et pour d'autres gens. voilà l'autre rapport de malwarbytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4415

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

10/08/2010 22:14:41
mbam-log-2010-08-10 (22-14-41).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 144469
Temps écoulé: 16 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

samara · Answer

éxcuse-moi de te déranger une fois de plus.mais je veux seulement savoire qu'est-ce que je dois faire avec le malwarebytes et USBfix?et merci.

crapoulou · Answer

On supprimera les outils inutiles à la fin de la désinfection.
Vide la quarantaine de MBAM.

Comment va le PC ?

samara · Answer

tout va bien grâce à toi, pour la quarantaine je l'ai vidé. mais j'ai un problème avec mon antivirus avira. 
A chaque fois que je contrôle le C:/ avec avira,a la fin je trouve aucun virus. mais un avertissement. en plus de ça, je n'arrive pas a mettre la mise à jour de l'antivirus normalement. mais je dois toujours ouvrire la connection Internet. 
et merci une autre fois pour tes conseils.

crapoulou · Answer

L'avertissement est normal s'il concerne pagefile.sys.
Pour mettre à jour Antivir manuellement si besoin (il arrive que les serveurs de mise à jour rencontrent des soucis) :

https://www.commentcamarche.net/faq/21023-mise-a-jour-manuelle-d-avira-antivir

*********

Poste un nouveau rapport RSIT pour faire le point stp.

samara · Answer

voilà le lien du  rapport RSIT :

 http://www.cijoint.fr/cjlink.php?file=cj201008/cijmlP1F27.txt

crapoulou · Answer

Ta version de Windows n'est pas officielle !
Je te conseille de te mettre en règles à ce niveau là pour des raisons de sécurité avant tout !

*********

Lance Hijackthis.
Il se situe ici :
C:\Program Files	rend micro\Administrateur.exe

Clique sur "Do a system scan only".
Coche ces lignes :
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2600 Series\ezprint.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD5EDAFA-7686-40BF-BC56-3162A9CEC198}: NameServer = 192.168.60.58 192.168.50.55
Clique ensuite sur fix checked.
Ferme Hijackthis.

********

je dois toujours ouvrire la connection Internet
Qu'entends-tu par là ?

samara · Answer

bonsoir,
j'ai fais ce que tu m'a demandé a propos de hijack. j'ai pas bien compris ce que tu m'a dis  concernat ma version windows.

a propos d' avira:

je veux dire, si je débranche le modéme, je ne peux pas mettre l'antivirus à jour.

crapoulou · Answer

je veux dire, si je débranche le modéme, je ne peux pas mettre l'antivirus à jour. C'est normal. ********* Supprime ce fichier : C:\UsbFix_Upload_Me_XPSP2-A6D963109.zip ******** Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge Toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Double-clique sur ToolsCleaner2.exe et laisse le travailler * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse. ********************* Mets à jour Internet Explorer en téléchargeant la version 8 (même si tu ne l'utilises pas, sinon c'est une faille de sécurité de ne pas le tenir à jour...) = = = =>>> En cliquant ici <<<= = = = ********************* Tu peux garder Malwarebytes anti malware en tant qu'anti malware, il est très efficace. (Même s'il ne résout pas tous les problèmes, bien entendu ... !) Par contre, il n'a pas de scan résident en mode gratuit ! Il faut donc pour l'utiliser le lancer, faire les mises à jour et faire un scan complet après. ********************* * Télécharge Ccleaner Slim (Cet utilitaire n'est pas là pour enlever des virus ou autres infections !) = = = = >>> En cliquant ici <<< = = = = * Installe le. * Choisis l'onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l'onglet Registre - Clique sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK - Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente). - Ferme Ccleaner. * Tutoriel en images ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-)

samara · Answer

voila le rapport T.Cleaner:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Rsit: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Recent\UsbFix.lnk: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HiJackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Recent\UsbFix.lnk: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HiJackThis\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Rsit: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

crapoulou · Answer

Supprime Toolscleaner et C:\TCleaner.txt.
Passe à la suite ;-).

samara · Answer

j'ai fais tout ce que tu m'a demandé, je pense maintenant que mon p.c est en bonne santé grâce à toi. a propos de CCleaner slim, je doit le supprimer aussi. je n'ai pas réussi à télécharger la version 8 d' Internet explorer. je vais éssayer une autre fois.je pense que c'est un problème de la mise à jour de windows xp.

merci mille fois crapoulou

crapoulou · Answer

Tu peux garder Ccleaner.
Lance Windows Update pour faire les mises à jours système.

T'as un problème ? Passe sur CCM!  
Il n'y a pas de problème sans solution.

samara · Answer

est-ce que cela veut que j'ai un autre problème?

crapoulou · Answer

Non, je ne pense pas ;-).
Mets à jour ton système !

Ta version de Windows n'est pas officielle !
Ne va pas chercher plus loin !

samara · Answer

qu'est ce que je dois faire pour la rendre officielle?

crapoulou · Answer

Où as-tu acheté ton PC ?
D'occasion ? Neuf ?

As-tu le CD de Windows avec ?

samara · Answer

je l'ai acheté d'un magasin qui vend les PC d'occasion. 

non je ne  l'ai pas.

crapoulou · Answer

Ce n'est pas normal !
Ils t'ont installé une version bidouillée !!!
Demande leur le CD original de XP (s'ils veulent :S)

samara · Answer

bonjour crapoulou
qu'est ce que ça veut dire  version bidouillée?
je vais leur demander le CD original de XP. mais s'ils ne veulent pas me le donner.

crapoulou · Answer

bidouillée = trafiquée, modifiée.

mais s'ils ne veulent pas me le donner.
A part l'acheter, je ne vois pas !
Tu resteras avec ta version.

samara · Answer

si j'achète le windows XP,je peux l'installer moi même ,pas besoin d'un technicien.

merci crapoulou pour tes explications ,ton aide .tu es vraiment très gentil. 

merci.

crapoulou · Answer

Oui, tu peux.
Par contre sauvegarde tes données avant car il te faudrait formater l'ordinateur !

Cheval de troie 479

37 réponses

Votre réponse

Discussions similaires

Newsletters