Cheval de troie encore...

Frister -  
 Utilisateur anonyme -
Bonjour,

De temps en temps je reçois une annonce me disant qu'un cheval de troie a etais decouvert,j'ai beau supprimer..etc rien n y fait ça revient sans arrêt...

S'il vous plaît j'aurai besoin d'aide !!!

Je vous remercie d'avance

12 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Par qui l'annonce ?
    Détecté dans quel fichier ?
    0
  2. Frister
     
    Bonjour,

    c'est anti virus guard qui me met cette annonce,après dans quel fichier je sais pas exactement :s lorsque l'annonce reviendrai je vous la posterai ici
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    AntivirusGuard est un rogue...

    Sauvegarde tes documents importants.

    Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec avec prise en charge du réseau : Redémarre en mode sans échec, avec prise en charge du réseau pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
    0
  4. Frister
     
    Merci beaucoup ! :)

    voilà combofix a terminé,cependant l'ordi s'est redemarré alors je sais pas si le rapport s'est enregistré quelque part ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C:\Combofix.txt

    m'enfin normalement il est censé s'ouvrir tout seul :)
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    OK fais ça :

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT

    * Clique sur le bouton Quick Scan.
    * Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
    0
  8. Frister
     
    Je ne sais pas ce qui se passe je n'ai plus de connexion internet sur le pc infecté alors que sur mon portable si,je vais attendre de voir si ça revient et faire ce que vous me dites encore merci !
    0
  9. Frister
     
    connection retrouvée

    voilà je pense avoir trouver le rapport :

    ComboFix 10-10-12.03 - Nicolas 14102010 140953.3.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1550 [GMT 200]
    Lancé depuis cdocuments and settingsNicolasBureauComboFix.exe
    AV AntiVir Desktop On-access scanning disabled (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    cdocuments and settingsNicolasApplication DataPriceGong
    cdocuments and settingsNicolasApplication DataPriceGongData1.xml
    cdocuments and settingsNicolasApplication DataPriceGongDataa.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatab.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatac.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatad.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatae.xml
    cdocuments and settingsNicolasApplication DataPriceGongDataf.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatag.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatah.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatai.xml
    cdocuments and settingsNicolasApplication DataPriceGongDataJ.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatak.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatal.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatam.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatamru.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatan.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatao.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatap.xml
    cdocuments and settingsNicolasApplication DataPriceGongDataq.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatar.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatas.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatat.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatau.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatav.xml
    cdocuments and settingsNicolasApplication DataPriceGongDataw.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatax.xml
    cdocuments and settingsNicolasApplication DataPriceGongDatay.xml
    cdocuments and settingsNicolasApplication DataPriceGongDataz.xml

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-14 au 2010-10-14 ))))))))))))))))))))))))))))))))))))
    .

    2010-10-10 1926 . 2010-10-10 1926 -------- d-----w- cdocuments and settingsNicolasLocal SettingsApplication DataConduit
    2010-10-10 1923 . 2010-10-10 1925 -------- d-----w- CUsbFix
    2010-10-10 1736 . 2010-10-10 1808 -------- d-----w- CKill'em
    2010-10-10 1734 . 2010-10-10 1815 -------- d-----w- cprogram filesList_Kill'em
    2010-10-10 1647 . 2010-10-10 1713 -------- d-----w- cprogram filesAd-Remover
    2010-10-06 1534 . 2010-10-06 1534 -------- d-----w- cprogram filesEdiser
    2010-10-02 1114 . 2010-10-02 1114 -------- d-----w- cprogram filesAxantum

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    Note les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
    {4daac69c-cba7-45e2-9bc8-1044483d3352}= cprogram filesSoftonic_FrancetbSof1.dll [2010-09-16 2735200]

    [HKEY_CLASSES_ROOTclsid{4daac69c-cba7-45e2-9bc8-1044483d3352}]

    [HKEY_LOCAL_MACHINE~Browser Helper Objects{4daac69c-cba7-45e2-9bc8-1044483d3352}]
    2010-09-16 1512 2735200 ------w- cprogram filesSoftonic_FrancetbSof1.dll

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
    {4daac69c-cba7-45e2-9bc8-1044483d3352}= cprogram filesSoftonic_FrancetbSof1.dll [2010-09-16 2735200]

    [HKEY_CLASSES_ROOTclsid{4daac69c-cba7-45e2-9bc8-1044483d3352}]

    [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
    {4DAAC69C-CBA7-45E2-9BC8-1044483D3352}= cprogram filesSoftonic_FrancetbSof1.dll [2010-09-16 2735200]

    [HKEY_CLASSES_ROOTclsid{4daac69c-cba7-45e2-9bc8-1044483d3352}]

    [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
    msnmsgr=cprogram filesWindows LiveMessengermsnmsgr.exe [2009-07-26 3883856]
    Steam=cprogram filesSteamSteam.exe [2010-08-25 1242448]
    Skype=cprogram filesSkypePhoneSkype.exe [2010-04-06 26102056]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
    RTHDCPL=RTHDCPL.EXE [2009-09-22 18749440]
    avgnt=cprogram filesAviraAntiVir Desktopavgnt.exe [2009-03-02 209153]
    IgfxTray=cwindowssystem32igfxtray.exe [2010-01-13 134656]
    HotKeysCmds=cwindowssystem32hkcmd.exe [2010-01-13 166912]
    Persistence=cwindowssystem32igfxpers.exe [2010-01-13 135680]
    NvCplDaemon=cwindowssystem32NvCpl.dll [2010-01-11 13666408]
    NvMediaCenter=cwindowssystem32NvMcTray.dll [2010-01-11 110696]
    CamserviceDP=cprogram filesHerculesDualPix ExchangeCamservice.exe [2007-08-10 81920]
    QuickTime Task=cprogram filesQuickTimeQTTask.exe [2010-03-17 421888]
    iTunesHelper=cprogram filesiTunesiTunesHelper.exe [2010-04-28 142120]

    [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
    CTFMON.EXE=cwindowssystem32CTFMON.EXE [2007-12-09 15360]

    cdocuments and settingsNicolasMenu D'marrerProgrammesD'marrage
    IMVU.lnk - cdocuments and settingsNicolasApplication DataIMVUClientIMVUQualityAgent.exe [2010-6-17 21760]

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMSMSGS]
    2004-08-19 1522 1667584 ------w- cprogram filesMessengermsmsgs.exe

    [HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
    %windir%system32sessmgr.exe=
    cProgram FilesMicrosoft OfficeOffice12OUTLOOK.EXE=
    cProgram FilesWindows LiveMessengerwlcsdk.exe=
    cProgram FilesWindows LiveMessengermsnmsgr.exe=
    cProgram FilesWindows LiveSyncWindowsLiveSync.exe=
    cProgram FilesMessengermsmsgs.exe=
    cProgram FilesSteamSteam.exe=
    cProgram FilesSteamsteamappscommontrackmania nations foreverTmForever.exe=
    cProgram FilesSteamsteamappscommontrackmania nations foreverTmForeverLauncher.exe=
    cProgram FilesSkypePlugin ManagerskypePM.exe=
    cProgram FilesBonjourmDNSResponder.exe=
    cProgram FilesiTunesiTunes.exe=
    cProgram FilesSteamsteamappsfireangel13counter-strike sourcehl2.exe=
    cProgram FilesSkypePhoneSkype.exe=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;cprogram filesAviraAntiVir Desktopsched.exe [06032010 2247 108289]
    S2 gupdate;Service Google Update (gupdate);cprogram filesGoogleUpdateGoogleUpdate.exe [27082010 1530 136176]
    S3 Ambfilt;Ambfilt;cwindowssystem32driversAmbfilt.sys [06032010 2237 1684736]
    S3 camfilt2;camfilt2;cwindowssystem32driverscamfilt2.sys [21032010 0010 94208]
    S3 MSICDSetup;MSICDSetup;dcdriver.sys -- dCDriver.sys []
    .
    Contenu du dossier 'Tâches planifiées'

    2010-10-07 cwindowsTasksAppleSoftwareUpdate.job
    - cprogram filesApple Software UpdateSoftwareUpdate.exe [2009-10-22 0950]

    2010-10-14 cwindowsTasksGoogleUpdateTaskMachineCore.job
    - cprogram filesGoogleUpdateGoogleUpdate.exe [2010-08-27 1330]

    2010-10-14 cwindowsTasksGoogleUpdateTaskMachineUA.job
    - cprogram filesGoogleUpdateGoogleUpdate.exe [2010-08-27 1330]

    2010-10-13 cwindowsTasksNorton Security Scan for Nicolas.job
    - cprogram filesNorton Security ScanEngine2.7.3.34Nss.exe [2010-08-04 0748]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = .local
    IE E&xporter vers Microsoft Excel - cprogra~1MICROS~2Office12EXCEL.EXE3000
    IE {{d9288080-1baa-4bc4-9cf8-a92d743db949} - cdocuments and settingsNicolasMenu DémarrerProgrammesIMVURun IMVU.lnk
    IE {{FB5F1911-F110-11d2-BB9E-00C04F795683} - httpmessenger.ipfox.com
    FF - ProfilePath - cdocuments and settingsNicolasApplication DataMozillaFirefoxProfilesgjwuc8al.default
    FF - prefs.js browser.search.selectedEngine - Google
    FF - prefs.js browser.startup.homepage - hxxpsearch.iminent.comappId=d7bf8714-e3db-4f02-9fd2-e500435525e2&ref=homepage
    FF - component cdocuments and settingsNicolasApplication DataMozillaFirefoxProfilesgjwuc8al.defaultextensions{4daac69c-cba7-45e2-9bc8-1044483d3352}componentsFFExternalAlert.dll
    FF - component cdocuments and settingsNicolasApplication DataMozillaFirefoxProfilesgjwuc8al.defaultextensions{4daac69c-cba7-45e2-9bc8-1044483d3352}componentsRadioWMPCore.dll
    FF - component cdocuments and settingsNicolasApplication DataMozillaFirefoxProfilesgjwuc8al.defaultextensions{9b339f6e-ddcd-401b-8764-230adbd01761}componentsFFExternalAlert.dll
    FF - component cdocuments and settingsNicolasApplication DataMozillaFirefoxProfilesgjwuc8al.defaultextensions{9b339f6e-ddcd-401b-8764-230adbd01761}componentsRadioWMPCore.dll
    FF - component cprogram filesMozilla Firefoxextensions{AB2CE124-6272-4b12-94A9-7303C7397BD1}componentsSkypeFfComponent.dll
    FF - plugin cprogram filesGoogleGoogle Earthpluginnpgeplugin.dll
    FF - plugin cprogram filesGoogleUpdate1.2.183.29npGoogleOneClick8.dll
    FF - plugin cprogram filesMicrosoftOffice LivenpOLW.dll
    FF - plugin cprogram filesWindows LivePhoto GalleryNPWLPG.dll

    ---- PARAMETRES FIREFOX ----
    cprogram filesMozilla Firefoxgreprefsall.js - pref(network.IDN.whitelist.xn--mgbaam7a8h, true);
    cprogram filesMozilla Firefoxgreprefsall.js - pref(network.IDN.whitelist.xn--mgberp4a5d4ar, true);
    cprogram filesMozilla Firefoxdefaultsprefall-iminent.js - pref(iminent.appInstanceUid, d7bf8714-e3db-4f02-9fd2-e500435525e2);
    cprogram filesMozilla Firefoxdefaultsprefall-iminent.js - pref(iminent.currentLcid, 1036);
    cprogram filesMozilla Firefoxdefaultspreffirefox.js - pref(dom.ipc.plugins.enabled, false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-nwiz - nwiz.exe

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied (A 2) (Everyone)
    @=FlashBroker
    LocalizedString=@cWINDOWSsystem32MacromedFlashFlashUtil10i_ActiveX.exe,-101

    [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}Elevation]
    Enabled=dword00000001

    [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}LocalServer32]
    @=cWINDOWSsystem32MacromedFlashFlashUtil10i_ActiveX.exe

    [HKEY_LOCAL_MACHINEsoftwareClassesCLSID{A483C63A-CDBC-426E-BF93-872502E8144E}TypeLib]
    @={FAB3E735-69C7-453B-A446-B6823C6DF1C9}

    [HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied (A 2) (Everyone)
    @=IFlashBroker4

    [HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}ProxyStubClsid32]
    @={00020424-0000-0000-C000-000000000046}

    [HKEY_LOCAL_MACHINEsoftwareClassesInterface{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}TypeLib]
    @={FAB3E735-69C7-453B-A446-B6823C6DF1C9}
    Version=1.0
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - 'winlogon.exe'(876)
    cwindowssystem32COMRes.dll
    .
    Heure de fin 2010-10-14 141322
    ComboFix-quarantined-files.txt 2010-10-14 1213

    Avant-CF 215 312 158 720 octets libres
    Après-CF 215 424 675 840 octets libres

    - - End Of File - - EC05E8F1269C7737AC1E2E2041860BB6
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    OK rien de vraiment dangereux sur ton rapport.

    Les alertes c'est Antivirus Guard ou c'est Antivir qui les donne ?
    0
  11. Utilisateur anonyme
     
    bonjour,
    il me semble te connaitre mais j'en suis pas sur.
    si tu es pas nicolas frister habitant en alsace laisse tomber.
    0