Sujet Précédent Sujet Suivant

Trojan

jojo -  
 green day -
Salut, J' ai besoin d' aide, mon pc est infecté par des trojans, Avast detecte :
- trojan 1728
- trojan 3298

SVp aidez moi, j' a besoin d' aide, j' ai eu mon pc pour noel, je n' arrive plus à rien faire, ma barre de tache est caché, je ne peut pas allez sur mon pste de travil je ne peut pas installé d' autre logiciel, je suis perdu aidez moi je suis pret à donner mon numéro de téléphone portable, j' a tres peur pour mmon pc, svp j' ai peur je veux pas qu 'il soit détruit, Aidez moi, aidez je vous en supplie, SVP
A voir également:

229 réponses

Précédent
Résumé de la discussion

Avast détecte deux trojans (1728 et 3298) et le poste présente des symptômes importants, comme la barre des tâches cachée et l’impossibilité d’installer de nouveaux logiciels.
Les réponses proposent diverses mesures de nettoyage: mise à jour de Windows après nettoyage, utilisation d’outils anti-malware (Spybot, Ewido) et recours à SmitRem pour purger l’infection avec génération d’un rapport.
Un élément technique évoqué est un rapport HijackThis détaillant des entrées de démarrage et des composants suspects, utile pour guider le diagnostic.
La discussion aborde aussi des ajustements de paramètres (barre de lancement rapide, page d’accueil) et d’autres conseils techniques sans aboutir à une solution unique.

Généré automatiquement par IA
sur la base des meilleures réponses
Réponse 81 / 229
Utilisateur anonyme
 
et un smitfraud option1

a+
0
Réponse 82 / 229
jojo
 
Apparement il reste quelques mauvaises :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
0
Réponse 83 / 229
Utilisateur anonyme
 
Oui je sais

remet un smitfraud option 1 et je te donne une manip

a+
0
Réponse 84 / 229
jojo
 
Voici le smitfraud :

SmitFraudFix v2.15

Rapport fait à 11:39:03,31 le 29/01/2006
Executé à partir de C:\Documents and Settings\Attila\Mes documents\Anti-virus-spywares-etc\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\zlbw.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Attila\Application Data

C:\Documents and Settings\Attila\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 85 / 229
Utilisateur anonyme
 
Bonjour,

Méthode à suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels (uniquement ceux que tu n as pas) mais que tu n‘utilises pas tout de suite:

1/

Spybot S&D 1.4 <<nouvelle version.
http://www.safer-networking.org/fr/index.html

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/

Ad-Aware SE 1.06 <<nouvelle version.
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
http://pageperso.aol.fr/balltrap34/adawrevid.asf

4/ Ccleaner :

http://www.pcastuces.com/logitheque/ccleaner.htm

***************Utilisation immediate********************

5/ Télécharge Haxfix:
http://users.telenet.be/marcvn/tools/haxfix.exe
exécute-le, il va créer un dossier sur ton bureau
double-clic sur fix.bat
suis les instructions, le pc va redémarrer ensuite.
copie/colle ici une copie de c:\haxfix.txt
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F3 - REG:win.ini: run=C:\WINDOWS\inet20003\services.exe

O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20003\services.exe

O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\wwwloader.exe

O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\symsvcsa.exe

O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll

----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
¤Vide tes fichiers temps et temporary internet file:

:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

c:\secure32.html
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
C:\winstall.exe
C:\WINDOWS\inet20003
C:\WINDOWS\system32\wwwloader.exe
C:\WINDOWS\System\svchost.exe
C:\WINDOWS\system32\symsvcsa.exe
----------------------------------------------------------------------------
¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
-------------------------------------------------------------------------------------------
¤ Lance le nettoyage avec CCleaner.
----------------------------------------------------------------------------
¤ Lance smitfraud fix, option 2
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Précise tes soucis s’il en reste....

Tiens-moi au courant

A+
0
Réponse 86 / 229
jojo
 
J' ai déjà installé spybot et ad - aware, je les désinstalle??
0
Réponse 87 / 229
jojo
 
??
0
Réponse 88 / 229
jojo
 
Haxfix n' a pas créer de fichier .bat.
0
Réponse 89 / 229
Utilisateur anonyme
 
Salut,

Je t ai dis " Télécharge ces logiciels (uniquement ceux que tu n as pas) "

Pour haxfix, si tu l as telecharger, fais executer

a+
0
Réponse 90 / 229
jojo
 
Je doit avoir des problèmes de compréhension, mais quand tu dis télécharger je dois pas les installer si? En tout cas je les ai désinstallés et j' ai télécharger haxfix, puis je l' execute, je l' installer je fais executer puis une fenetre rouge apparait où il est marqué :

Haxfix
by Marckie

Use this tool on your own risk

Appuyer sur une touche pour continuer, j' appuie et ça marque :
Insert the haxdoor notify subkey without the numbers
0
Réponse 91 / 229
Utilisateur anonyme
 
re
appuie entrée, il devrait continuer la procedure

a+
0
Réponse 92 / 229
jojo
 
Je fais entrée puis ça marque :

You don't have to run this tool. No infection found

Appuyez sur une touche pour continuer, j' appuie et ça ferme haxfix.
0
Réponse 93 / 229
Utilisateur anonyme
 
ok, continue la procédure

a+
0
Réponse 94 / 229
jojo
 
Je reviens à 15h, je finirais la procédure quand je reviendrais, je te donnerais des nouvellesdès que j' aurais fini.
Merci beaucoup de ton aide
A+
0
Réponse 95 / 229
Utilisateur anonyme
 
ok

++
0
Réponse 96 / 229
jojo
 
Voilà le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 16:33:11, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Documents and Settings\Attila\Mes documents\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Documents and Settings\Attila\Mes documents\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Documents and Settings\Attila\Mes documents\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\wwwloader.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: snda32 - C:\WINDOWS\SYSTEM32\snda32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

J' ai encore quelques petit problèmes mais moins que d' habitude, les voici:
- Au démarrage, mon pc m' avertit que le fichier CLI.exe manque, je pense qu' il faut juste que je réinstalle les pilotes de ma carte graphiques.
- Je ne peux toujours pas changer de fond d' écran, mais je pense que ça vient du fait que je dois réinstaller les pilotes de ma carte graphique.
0
Réponse 97 / 229
Utilisateur anonyme
 
Re,

Non cela n a rien avoir avec ta carte graphique, c est l infection

Remet aussi le rapport d ewido (tu l as?) et celui de smitfraudfix option 1

a+
0
Réponse 98 / 229
jojo
 
Ah j' ai toujours une mauvaise ligne (d' après www.hijackthis.de/fr) :

O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\wwwloader.exe est une inconnu qui ne me plait pas trop.

Voilà les 2 qui me tracasse sinon le reste pas de probleme selon moi.

Sinon en problème résolu, maintenant ma page d' IE se charge correctement sur about:blank.
Mais le raccourci bureau qui est dans ma barre rapide ne fonctionne pas, peut etre encore du au fichier CLI.
0
Réponse 99 / 229
jojo
 
Je fais un Ewido et un smitfraudfix en mode normal ou en sans echec.
0
Réponse 100 / 229
Utilisateur anonyme
 
En normal

a+
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses