Trojan a attaqué mon PC,help!

Résolu
Tajri_78 Messages postés 44 Statut Membre -  
 Jim -
Bonjour,
Mon ordi est infecté par 2 type de trojan,qlq px m'aidé?
Infected Object Name Virus Name Last Action
C:\System Volume Information\_restore{FE4CCEBC-3D32-488B-A760-70B649A89B05}\RP107\A0049873.exe Infected: Trojan-Downloader.Win32.Swizzor.fg skipped

C:\System Volume Information\_restore{FE4CCEBC-3D32-488B-A760-70B649A89B05}\RP107\A0049874.exe Infected: Trojan.Win32.Starter.e skipped

Merci

15 réponses

  1. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re ;)

    Si tu avais suivi mes conseils, le problème serait déjà résolu ;)

    Clique droit sur "Poste de travail" -> "Propriétés" -> onglet "Restauration du système" -> tu coches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "Oui".

    Ensuite, tu décoches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "OK".

    Et le tour est joué :D

    N'oublie pas de créer un nouveau point de restauration après.

    a+
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Merci Kristopher!
      moi j'ai ete perdu,et j'ai essayé de faire tt!
      Une choses comment creer une point de restauration!
      Merci encore une fois!
      Felicitation pour les bleu!!:-)


      "Je partage,donc j'exciste"
      0
  2. Tajri_78 Messages postés 44 Statut Membre
     
    Bonjour,
    Merci pour l'aide.
    a+

    BitDefender Online Scanner

    Rapport d'analyse généré à: Sat, Jun 24, 2006 - 11:20:50

    Voie d'analyse: A:\;C:\;D:\;

    Statistiques

    Temps
    00:49:50

    Fichiers
    102128

    Directoires
    2083

    Secteurs de boot
    2

    Archives
    1179

    Paquets programmes
    6591

    Résultats

    Virus identifiés
    0

    Fichiers infectés
    0

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    0

    Info sur les moteurs

    Définition virus
    389343

    Version des moteurs
    AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

    Analyse des plugins
    13

    Archive des plugins
    39

    Unpack des plugins
    5

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    Aucun virus trouvé.

    0
  3. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonjour Tajri_78,

    Ton rapport est bon ;)

    Où en sont tes soucis ?

    a+
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Bonjour Kristopher,
      Et bien j'ai pleine de soucis!
      par exp,hier j'ai entrain de naviguer et soudain mon ordi est s'eteindre seul!!!et encore un message apparaitre tjr qaund j'eteins mon ordi:EGGSACID.EXE initialistation Dll a echoué!
      c koi ça a ton avis.
      Merci d'avance
      0
  4. Colokint Messages postés 83 Statut Membre 58
     
    Salut, je m'immisce dans la conversation juste pour la manipulation demandée par Tajri_78 : créer un point de restauration.
    Bouton "Démarrer" > "Tous les programmes" > "Accessoires" > "Outils systèmes" > "Restauration du système"
    Dans la fenêtre qui s'ouvre, sur la partie droite apparaissent deux options : "Restaurer mon ordinateur" et "Créer un point de restauration". Cliquer donc sur la deuxième option puis sur le bouton suivant : une nouvelle fenêtre apparaît proposant de nommer son point de restauration. Choisir un nom puis cliquer sur créer. Ça y est, le point de restauration de la base de registre a été créée...!
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Merci Colokint,
      Moi l'informatique c pas mon domaine!
      A ton avis a koi ça sere un creation d'une point de restauration?
      Merci d'avance.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Colokint Messages postés 83 Statut Membre 58
     
    Oui, désolé, j'étais déconnecté...
    Un point de restauration pour moi c'est une facilité. Une point de restauration permet de sauvegarder sa base de registre lorsqu'on doit faire des modifications importantes. Par exemple, lors de l'installation d'un programme, Windows crée un point de restauration au cas où l'installation déstabiliserait gravement le fonctionnement du système d'exploitation. Parfois, il arrive, même pour un utilisateur de longue date de se retrouver devant un problème informatique insoluble. Et plutôt qu'un formatage de disque dur, la restauration d'un point de sauvegarde antérieur peut parfois résoudre ce problème. C'est une fonction offerte par XP (il me semble que cela n'existait pas avant, mais je peux me tromper) qui n'est pas dénuée d'intéret !
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Bjr,
      C pas grave.
      Mnt au moin j'ai une idée sur cette option!
      Merci de m'expliquer.
      J'aimerai bien que tu m'explique koi signifie:EGGSACID.exe initialisation Dll a echoué,ce message apparait lorsque j'etains mon PC.
      Merci d'avance
      0
  7. Colokint Messages postés 83 Statut Membre 58
     
    Et bien franchement, j'en sais rien, désolé !
    Mais en traduction EGGSACID signifie "oeufs acides" !
    J'ai fais une recherche sur Google qui n'a rien donnée...
    Par contre, l'extinction d'autorité du PC vient souvent d'une protection Windows. Lorsque Windows s'apperçoit qu'un programme est susceptible d'endommager le système, il s'éteind à la suite d'un décompte de secondes.
    Pour empêcher ce redemarrage intempestif, tu peux procéder comme suit :
    bouton "Démarrer" > "Panneau de configuration".
    Choisir ensuite la catégorie "Performance et maintenance" puis l'option "Système" (ou si l'affichage est en mode classique directement sur "Système").
    La fenêtre "Propriétés du système" s'ouvre avec plusieurs onglets (les onglets sont comme des intercalaires dans un classeur d'école) : choisir l'onglet "Avancé".
    Ensuite, dans le cadre "Démarrage et récupération" cliquer sur le bouton "Paramètres". Une nouvelle fenêtre s'ouvre.
    Dans la partie "Défaillance du système" décocher "Redémarrer automatiquement".
    Cette opération n'aura d'effet que si le décompte de redémarrage de Windows est présent. Si le PC s'éteint abruptement (écran noir) sans redémarrage, c'est sûrement plus grave...!
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Bonjour,
      J'ai suivis toutes les etapes,mais rien est passé!
      Je crois c une probleme de configuration d'alimentation!
      Merci
      0
  8. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Salut,

    Remets un log HT, je pense qu'il sagit soit d'un message d'erreur lié à une infection soit à un désordre dans ta base de registre !

    a+
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Bnj Kristopher,
      Ca va?
      Logfile of HijackThis v1.99.1
      Scan saved at 10:28:13, on 26/06/2006
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\ewido anti-spyware 4.0\guard.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\WINDOWS\system32\ctfmon.exe
      c:\progra~1\intern~1\iexplore.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\winpharm\Winpharm.exe
      C:\Program Files\ewido anti-spyware 4.0\ewido.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ar.islamway.net/
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {CF4F5D0C-ABC4-BFDC-9BB2-E5439D6F1F62} - (no file)
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
      O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
      O4 - HKLM\..\Run: [coolbendplayowns] C:\Documents and Settings\All Users\Application Data\SettingsDefyCoolBend\tons bin.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Deleterdr] C:\DOCUME~1\Issam\APPLIC~1\MEETEX~1\EGGSACID.exe
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzed029YYMA_ZUxdm02...
      O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
      O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe (file missing)
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
      O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSet...
      O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit...
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
      O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
      O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
      O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by24fd.bay24.hotmail.msn.com/activex/HMAtchmt.ocx
      O17 - HKLM\System\CCS\Services\Tcpip\..\{12B7AEFF-D018-4102-BD19-6EBBE9AA6793}: NameServer = 212.217.0.3 196.217.246.210
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

      0
      1. Jim > Tajri_78 Messages postés 44 Statut Membre
         
        SAlut,

        suis pharmacien et vois que dans la liste tu as winpharm comme application.

        Est ce le logiciel dont j'ai etendu parler (boite dans le sud je crois) et qui gère pas trop mal les pharmacies internes ?

        merci de me tenir au courant.

        A +
        0
      2. Kristopher Messages postés 3752 Statut Contributeur 106 > Jim
         
        Salut,

        Pourquoi postes-tu ici ?

        Ce post est clôt depuis plus de 8 mois !

        a+
        0
      3. TWIST > Kristopher Messages postés 3752 Statut Contributeur
         
        WINPHARM est une merde de logiciel de clinique , plein de bugs , avec une société qui ne sait que prendre de l'argent...
        Je m'en suis débarassé après l'avoir subi N années...
        Ya nettement mieux , et moins cher !
        0
  9. Buenos Messages postés 154 Statut Membre 9
     
    Re-salut, trouvé la ligne correspondant à ton pb :

    O4 - HKCU\..\Run: [Deleterdr] C:\DOCUME~1\Issam\APPLIC~1\MEETEX~1\EGGSACID.exe

    Est-ce qe tu reconnais ce programme ou t'es-t-il complètement inconnu ??

    @+.

    "La vie n'est pas un long fleuve tranquille...............!!"
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Slt Buenos,
      Pour moi ce programme est inconu!
      cette application,signifie koi?
      Merci
      0
  10. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Ce site ne reconnus pas cette aplication!
      0
      1. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354 > Tajri_78 Messages postés 44 Statut Membre
         
        bsr
        si tu lisais ......
        tu verrais qu il te dde de leur envoyer un courriel
        et tu aurais la réponse par la même voie.....
        0
      2. Tajri_78 Messages postés 44 Statut Membre > aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur
         
        Bjr,
        J'ai tenté ma chance de leur envoyer un courrier electronique!
        Je t'informerai de la reponse!
        Merci
        0
  11. Kristopher Messages postés 3752 Statut Contributeur 106
     
    ¡Buenas Tardes! Buenos ;)

    Et oui, le log HijackThis dévoile pas mal de chose...

    Mais en l'occurrence on est en présence de pas mal d'infections et pas seulement cette ligne doit être fixée :
    O4 - HKCU\..\Run: [Deleterdr] C:\DOCUME~1\Issam\APPLIC~1\MEETEX~1\EGGSACID.exe

    Mais beaucoup plus...

    Comme tu as l'air d'être interressé pas se poste, ne t'en prive pas lol

    Je te le laisse ;)

    a+ et bon courage pour la suite.
    0
  12. Buenos Messages postés 154 Statut Membre 9
     
    Salut Kristopher,

    merci pour la politesse mais je dois malheureusement m'absenter, je te laisse donc la mano.

    Merci et @+.

    Tchô !
    0
    1. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Moi aussi j'y vais ;)

      a+
      0
  13. Tajri_78 Messages postés 44 Statut Membre
     
    Bjr,
    O4 - HKLM\..\Run: [coolbendplayowns] C:\Documents and Settings\All Users\Application Data\SettingsDefyCoolBend\tons bin.exe
    apparament All occuped!
    Je laisse tombé.
    Merci pour l'aide
    0
  14. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Salut

    Cette infection est surrement l infection du au sponsor de msn+

    Suiis cette page:
    http://perso.orange.fr/entraide-hijackthis/MessengerPlus3/index.html

    Bye
    0
    1. Tajri_78 Messages postés 44 Statut Membre
       
      Slt,
      J'ai deja suivis ces etapes,j'attend les resultats!
      Merci
      0
  15. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Toi tu me fais trop rire....

    Remet un hijack this apres avoir redemarrer ton pc.

    a+
    0
  16. Jim
     
    Salut Twist,

    Tu m'étonnes car tous les renseignements que j'ai pris ont été positifs voire élogieux ... Je me suis renseigné auprès de différents type d'établissements (SSR, CRF, ...) car je suis dans une MAS accolée à un CRF. Nous envisageons de nous équiper et sur la région PACA, où je suis, je n'ai pas trouvé de personnes qui ont quelque chose à redire. Ils ont eu des soucis d'accès (parfois difficiles à joindre au téléphone) mais sinon le produit a l'air de répondre aux besoins.

    Dans quel établissement étais tu et dans quelle région ? tu faisais de la DJIN ?

    Si je peux t'aider ...

    Jim
    0