[trojan] win32 trojano 3428 et haxdoor bk

Résolu
camelia61 Messages postés 91 Statut Membre -  
camelia61 Messages postés 91 Statut Membre -
Bonjour,

Ce weekend une amie me dit j'ai des trucs bizarres qui s'affichent sur mon portable du genre petit écran noir avec "erreur" lors de l'ouverture de certains programmes et en regardant je m'apercois qu'elle n'a ni pare-feu,ni anti-spyware(là ca se gate !) mais qd meme avast que je lance et là il me sort 2 trojans cités ci-dessus que je mets en quarantaine, via mon pc je télécharge zone alarme, ad aware et spybot pour lui installer, mais je n'ai pas eu le temps elle vient de m'appeler pour me dire qu'elle ne peut plus du tout l'allumer !!! Elle doit me l'apporter ce midi, Est-ce grave ? et pouvez-vous m'aider ?

Désolée d'avoir été si longue et merci d'avance pour toutes vos suggestions ...
Configuration: WINDOWS XP 
je n'en sais pas plus ...

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une machine sous Windows XP présente des signes d’infection virale et de trojans, avec des affichages d’erreurs et l’absence de pare-feu et d’antivirus, ce qui a été détecté par Avast. Des tentatives de nettoyage et de sécurisation ont été tentées, mais la solution évoquée est d’avoir démarré en mode normal après la suppression de certaines mises à jour. Des questions subsistent sur les actions à refaire et les précautions à prendre, comme la nécessité d’un pare-feu et d’un antivirus et le contrôle des mises à jour. Cela suggère aussi qu’un diagnostic approfondi et une réinstallation partielle des composants critiques peuvent être nécessaires si le démarrage redevient problématique, ou après une reconfiguration réseau.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. camelia61 Messages postés 91 Statut Membre 5
     
    CA Y EST !!! CA Y EST !!!

    J'ai viré certaines mises à jour (au pif) ET IL A DEMARRE EN MODE NORMAL !!!!

    Y a t'il certaines choses à refaire ? et à ne pas oublier ?

    Merci merci encore !
    1
  2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    alu
    ouille
    si rien ne s allume
    on ne va guère pouvoir faire qque chose

    ====
    décris donc qd tu auras la bête ce qui se passe au démarrage
    0
  3. camelia61 Messages postés 91 Statut Membre 5
     
    bon j'ai le portable c'est un dell pour info
    alors lorsque je l'allume : j'ai le logo DELL qui s'affiche et ensuite un message de dell (je pense) qui me dit que des fichiers ou programmes ont été pu etre endommagés , qu'un nouveau logiciel peut en être la cause et me demande si je veux redémarrer en mode sans échec ou derniere bonne config ou normalement.
    si je laisse sur démarrer normalement le logo windows apparait mais ensuite il reste bloqué et repart sur la 1ère page que je viens de citer ...
    Faut il que je redémarre en mode sans échec ou prendre la derniere bonne config connue (derniers parametres fonctionnels)?

    Merci de votre aide
    0
  4. camelia61 Messages postés 91 Statut Membre 5
     
    SVP... Personne ne peut m'aider ???...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    redémarre en sans échec
    et tente une restau à un instant antérieur à la naissance du blem
    0
  7. camelia61 Messages postés 91 Statut Membre 5
     
    une question : j'avais le choix entre 2 possibilités : mode sans échec seul ou avec restauration antérieure, j'ai pris la 2ème solution mais il donne une restauration au 16/05 et c'est bien trop court le virus était déja là ! je fais comment ?

    Merci d'avance
    0
    1. Utilisateur anonyme
       
      Salut,

      comme dirait l'autre..

      Qui ne tente rien à rien ..
      0
  8. camelia61 Messages postés 91 Statut Membre 5
     
    bon j'ai tenté une restauration au 16/05 mais ca n'a rien donné alors j'ai refait un mode sans échec, et j'ai par la même occasion installé spybot (mais sans mise à jour vu que je ne peux pas connecter ce portable à internet) là je suis toujours sur le mode sans échec, qqun peut me dire ce que je dois faire exactement ?
    Merci...
    0
    1. Utilisateur anonyme
       
      prends ça aussi si tu peux faire un transfere et scan en mode sans echec

      Ad-Aware SE Personal:(en anglais)
      Ad-aware
      -Le patch pour le faire fonctionner Ad-Aware SE en français: Patch français pour Ad-aware

      Ewido:
      Ewido Security Suite


      Fait ça si possible:


      télécharge lopxp;
      http://pageperso.aol.fr/balltrap34/lopxp.zip

      dézippe-le sur ton bureau puis double-clique sur le fichier lopxp.bat
      quand il a terminé, un rapport s'ouvre : poste-le ici
      0
  9. camelia61 Messages postés 91 Statut Membre 5
     
    alors le rapport dit :(je suis obligée de recopier)
    17/05/2006 20:12 (rep) Lavasoft
    23/12/2005 17:02 (rep) Macromedia
    28/05/2005 14:52 (rep) FUJIFILM
    31/07/2004 12:49 (rep) Microsoft web folders
    29/06/2004 22:58 (rep) identities
    29/06/2004 22:58 62 desktop. ini
    29/06/2004 22:58 (rep) ..
    29/06/2004 22:58 (rep) .
    29/06/2004 22:58 (rep) microsoft

    enfin bon ca remonte jusqu'en 2001 ...

    ensuite il met :
    1 fichier 62 octets
    12 r.p (s) 1412128768 octets libres
    le volume ds le lecteur C n'a pas de nom
    le numéro de série du volume est 28a4-2689

    ??? merci
    0
    1. Utilisateur anonyme
       
      héhé faut faire un copier/coller, regarde ici comment faire avec HijackThis c'est le même principe pour copier/coller

      Mets le fichier sur ton bureau puis refait l'opération stp

      Regarde ici pour le copier/coller
      http://pageperso.aol.fr/balltrap34/demohijack.htm

      0
  10. camelia61 Messages postés 91 Statut Membre 5
     
    par contre je viens de faire un hijackthis qui donne :

    HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http//www.neuf.fr/home/401.html

    HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    BHO:AcroIEHlprObj Class - {06849E9F-C8D7-4D59-b87d-784B7D6BE0B3} - c:\Program Files\Adobe\Acribat.5.0\

    BHO:(no Name) - {53707962-6F74-2D53-2644-206D7942484F}-C:\Program Files\Spybot - search&Destroy\Destroy\SDhelp

    Toolbar:&Radio-{8E718888-423F-11D2-876E-00A0C9082467}-C:\WINDOWS\System32\msdwm.ocx

    HKLM\..\Run:[REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE\AUTORUN

    HKLM\..\Run:[Microsoft IIS] C:\WINDOWS\Systeme32^00xstmp.exe

    HKLM\..\Run:[ms ownage]winPE.exe
    HKLM\..\Run:[avast!]C:\PROGRA 1\alwils 1\Avast4\ashDisp.exe
    HKLM\..\RunServices:[ms ownage]winPE.exe
    HKCU\..\Run :[MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"/background

    Global Startup: Microsoft Office.Ink = C:\Program Files\Microsoft Office\Office\OSA9.EXE

    Global Startup: msoffice.exe

    Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related

    Extra button:Messenger - {FB5F191-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

    Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11D2-BB9E-00C04F795683] - C:\Program Files\Messenger\MSM...

    Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUp...

    Service automatic Update Service (Automatic Updateà - Unknown owner - C:\WINDOWS \System32\wuapi.exe (file...

    Service : avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

    Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe"/service (file...

    Service: avast! web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe"/service (file...

    Voilà je n'ai même pas pu le coller sur bloc note qui n'existait pas ni sur word donc il y a certaines lignes dont je ne vois pas la fin !!!

    En espérant que vous puissiez m'aider ...
    0
  11. camelia61 Messages postés 91 Statut Membre 5
     
    Désolée je n'avais pas vu le message avant de poster, je rajoute les lignes du dessus que je ne voyais pas (je ne peux pas faire de copier coller car le pc qui est planté est un portable et je ne peux pas le connecter à internet donc je recopie via le mien !!!)

    C:\WINDOWS\System32\smss.exe
    C: \WINDOWS\System32\winlogon.exe
    C:\WINDOWS\System32\services.exe
    C:\WINDOWS\System32\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\Administrateur\Local Setting\Temp\Répertoire Temporaire 2 pour hijackthis.zip\hijackThis.exe
    0
  12. camelia61 Messages postés 91 Statut Membre 5
     
    Personne pour m'aider ?
    svp pouvez-vous me dire quelles lignes je fixe ?
    0
    1. Utilisateur anonyme
       
      il faut un rapport complet!

      essaie de faire un copier/coller c'est expliqué sur la démo
      0
  13. camelia61 Messages postés 91 Statut Membre 5
     
    mais je ne peux pas faire de copier/coller je ne suis pas sur le même pc et le portable qui est planté je ne peux pas le connecter à internet pour vous coller l'hijackthis je suis obligée de recopier !!!
    0
    1. Utilisateur anonyme
       
      t'as pas un support une cleé USB,MP3 une disquette, non même pas ? :( si non, tant pis je veux bien t'aider comme ça..


      sur ton Pc malade fait ça:

      Clique sur demarrer, executer, tape: services.msc ,dans la liste qui va apparaitre cherche et regle cette ligne sur désactivé

      Service automatic Update Service


      Clique sur demarrer, rechercher, cherche et supprime ces fichiers:


      Systeme32^00xstmp.exe
      winPE.exe
      msoffice.exe
      wuapi.exe

      *Si un fichier persiste lors de la suppression fais ceci:
      -Redemarres ton pc, dès l'allumage de celui ci tapotes la touche f8, à l'ecran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers, vides ta corbeille et redemarres normalement


      Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"


      Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related
      Extra button:Messenger - {FB5F191-F110-11d2-BB9E-


      Puis copie ici les O4 et 023 hormis les lignes d'Avast
      0
  14. camelia61 Messages postés 91 Statut Membre 5
     
    Logfile of HijackThis v1.99.1
    Scan saved at 23 :01:27, on 17/05/2006
    Platform : windows XP SP1 (winNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Runnign processes :
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\System32\winlogon.exe
    C:\WINDOWS\System32\services.exe
    C:\WINDOWS\System32\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Repertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

    HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http//www.neuf.fr/home/401.html

    HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    BHO:AcroIEHlprObj Class - {06849E9F-C8D7-4D59-b87d-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat.5.0\Reader\ActiveX\AcroIEHelper.ocx

    BHO:(no Name) - {53707962-6F74-2D53-2644-206D7942484F}-C:\Program Files\Spybot - search&Destroy\Destroy\SDhelper.dll

    Toolbar:&Radio-{8E718888-423F-11D2-876E-00A0C9082467}-C:\WINDOWS\System32\msdxm.ocx

    HKLM\..\Run:[REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE\AUTORUN

    HKLM\..\Run:[Microsoft IIS] C:\WINDOWS\Systeme32^00xstmp.exe

    HKLM\..\Run:[ms ownage]winPE.exe

    HKLM\..\Run:[avast!]C:\PROGRA 1\ALWILS 1\Avast4\ashDisp.exe

    HKLM\..\RunServices:[ms ownage]winPE.exe

    HKCU\..\Run :[MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"/background

    Global Startup: Microsoft Office.Ink = C:\Program Files\Microsoft Office\Office\OSA9.EXE

    Global Startup: msoffice.exe

    Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    Extra button:Messenger - {FB5F191-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

    Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11D2-BB9E-00C04F795683] - C:\Program Files\Messenger\MSMSGS.EXE

    Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

    Service automatic Update Service (Automatic Updateà - Unknown owner - C:\WINDOWS \System32\wuapi.exe (file missing)

    Service : avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

    Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe"/service (file missing)

    Service: avast! web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe"/service (file missing)

    voilà j'ai tout recopié, j'espère que ca va être plus compréhensible!!!
    Encore merci
    0
    1. Utilisateur anonyme
       
      ok, bah supprime les fichiers que je t'ai indiqué plus haut rien d'autre à signaler
      0
  15. camelia61 Messages postés 91 Statut Membre 5
     
    Lorsque je fais la recherche des fichiers le pc n'en trouve aucun !!!
    et je n'arrive toujours pas à redemarrer en mode normal
    0
    1. Utilisateur anonyme
       
      fait ça puis recherche à nouveau:

      Affiche tous les fichiers et dossiers :
      Clique sur démarrer, panneau de configuration, outils ,option des dossiers, affichage

      Coche: afficher les fichiers et dossiers cachés

      Décoche la case:
      -masquer les fichiers protégés du système d'exploitation (recommandé)
      -masquer les extensions dont le type est connu

      Appliquer, puis ok

      0
  16. camelia61 Messages postés 91 Statut Membre 5
     
    Bonsoir !

    J'ai fait ce que tu m'as dit mais ca ne donne toujours rien il ne les trouve pas !!! (que ca m'agace ....) As tu une autre idée ?
    0
  17. camelia61 Messages postés 91 Statut Membre 5
     
    Quelqu'un peut m'aider ???

    Je ne sais plus quoi faire ...
    0
  18. camelia61 Messages postés 91 Statut Membre 5
     
    je viens de lancer edwido et il m'a supprimé 2 machins (backdoor et win32 je ne sais plus quoi)
    Que puis-je faire d'autre ? et comment faites vous pour installer edwido, adaware, spybot avec les nouvelles mises à jour, car en fait lorsque je les ai installés sur le portable évidement ne pouvant me connecter à internet il n'y a aucune mise à jour d'effectuée, avez-vous une méthode afin que je puisse graver ces mises à jour et les installer sur le portable ?

    Merci d'avance
    0
  19. camelia61 Messages postés 91 Statut Membre 5
     
    Toujours personne pour m'aider ? Je n'ai toujours pas réussi à supprimer les fichiers demandés (la recherche ne donne rien) et je ne peux toujours pas entrer sous xp en mode normal!!!

    svp...
    0
    1. Utilisateur anonyme
       
      vas dans C:\program files\le logiciel puis regarde pour les mises à jours je crois comme Spybot c'est assez facile de faire un transfere puis tu les mets dans le même dossier bien sur.

      Tu as réinstallé ta connexion internet ?
      0
  20. camelia61 Messages postés 91 Statut Membre 5
     
    bonsoir

    j'ai fait ce que tu m'as conseillé mais spybot ne prend pas en compte le dossier update que j'ai complété sur le portable ... Qu'est ce que j'ai oublié : J'ai copié uniquement ce qu'il y avait ds le dossier Update ! fallait il prendre autre chose ?

    Pour la connection internet je ne l'ai pas encore réinstallé car je n'ai qu'une seule connection pour mon pc donc je vais voir demain mon ami pour tenter une connection chez elle et le cas ou réparer la connection afin d'effectuer les mises à jours.
    Avant de me reconnecter,à ton avis faut il que j'installe tout d'abord le pare feu zone alarm ?

    Merci
    0
  21. camelia61 Messages postés 91 Statut Membre 5
     
    bonjour je viens de refaire un hijackthis et 2 fichiers se trouvent encore là ! comment faire pour les virer ? lorsque je les recherche je ne trouve RIEN !!!

    Logfile of HijackThis v1.99.1
    Scan saved at 12:17:07. on 20/05/2006
    Platform: windows XP SP1 (WinNT 5.01.2600)
    MSIE : Internet Explorer v6.00 SP1 (6.00.2800.1106)

    runnning processes :
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\System32\winlogon.exe
    C:\WINDOWS\System32\services.exe
    C:\WINDOWS\System32\lssas.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = http//www.neuf.fr/home/401.html

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar, LinksFolderName = Liens

    O2 - BHO : acroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO : (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE.EXE /AUTORUN

    O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\System32^00xstmp.exe

    O4 - HKLM\..\Run: [ms ownage] winPE.exe

    O4 - HKLM\..\Run: [avast!] C: \PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\RunServices : [ms ownage] winPE.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

    O4 - Global Startup: Microsoft office.Ink = C:\Program Files\Files\Microsoft office\office\OSA9.EXE

    O23 - Service: avast! iAVS4 CControl Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe"

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

    Merci de m'aider !!!
    0
    1. Utilisateur anonyme
       
      Salut,

      clique sur demarrer, executer, tape: msconfig ,vas dans l'onglet "deamrrage" puis " service" regarde il devrait y être désactive le.
      0
  • 1
  • 2
  • 3