Cheval de troie avec f secure

Résolu
whiterasta Messages postés 31 Statut Membre -  
anouar254 Messages postés 2 Date d'inscription   Statut Membre -
cheval de troie avec log f secure comment l'éliminer

9 réponses

  1. Roger54 Messages postés 172 Statut Membre 11
     
    salut Whiterasta,

    Il faudrait nous donner ton rapport de scan puis :
    Télécharge HijackThis ici:
    https://www.01net.com/404/

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
    1. whiterasta Messages postés 31 Statut Membre
       
      merci roger je vais faire ça j'attend d'etre débauché je passe chez mon pote et j'envoi ca car c'est pas sur mon pc et comme je suis en vue de faire une formation en maintenance informatique il m'a demander de l'aider malgrés mes compétences réduites sur le sujet mais votre aide à tous sera la bienvenue :)
      0
  2. Roger54 Messages postés 172 Statut Membre 11
     
    OK pas de problème
    0
    1. whiterasta Messages postés 31 Statut Membre
       
      je débauche dans trois quart d'heure je t'envoi ça aprés

      merci encore :)
      0
    2. whiterasta Messages postés 31 Statut Membre
       
      ca y est je suis chez mon pote j'ai essayer de lancer le scan windows est ça marche pas

      l'info que je peu te donné c'est que ca marque code dangereux détecté dans le fichier C:\SYSTEM VOLUME INFORMATION\_RESTORE-(A6B224DO-A415-4BA9-8115 B5AA59C9F2C7)-\RP294\A0073055.OLL.
      Infection : Trojan.Win32.Agent.qg
      Action : échec

      Merci d'avance pour tes réponses :)
      0
    3. whiterasta Messages postés 31 Statut Membre
       
      je viens de télécharger le log que tu ma conseiller voila la page qui s'affiche en fin de scan
      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
      C:\WINDOWS\system32\cisvc.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
      C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
      C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
      C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
      C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
      C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
      C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
      C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
      C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
      C:\WINDOWS\system32\cidaemon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ie.redirect.hp.com
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ie.redirect.hp.com
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ie.redirect.hp.com
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ie.redirect.hp.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ie.redirect.hp.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {F99973C8-43E7-48C4-9EF3-131B67301321} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1065_em_XP.cab
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
      O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
      O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
      O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
      O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

      que faut-il que je fasse encore merci pour tes réponses
      0
  3. Roger54 Messages postés 172 Statut Membre 11
     
    Si vous pouviez télécharger hijackthis (voir 1/)

    Merci
    0
    1. whiterasta Messages postés 31 Statut Membre
       
      ca y est c'est fait je l'ai lancer comme tu me l'as dis comment trouver le fichier corrompu jai regardé par rapport au code que je t'ai envoyer tout à l'heure
      0
  4. Roger54 Messages postés 172 Statut Membre 11
     
    Il faut que tu arrêtes de créer des nouveaux messages à chaque fois.

    Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ie.redirect.hp.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ie.redirect.hp.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ie.redirect.hp.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ie.redirect.hp.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ie.redirect.hp.com
    O16 - DPF: {F99973C8-43E7-48C4-9EF3-131B67301321} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1065_em_XP.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Roger54 Messages postés 172 Statut Membre 11
     
    Ensuite,

    Désactive ta restauration systeme:
    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    puis supprime les points de restauration puis decoche cette case
    0
    1. whiterasta
       
      ca y est c fait que dois je faire maintenant le message de F secure et toujours afficher faut-il que je redémarre le pc
      0
  7. Roger54 Messages postés 172 Statut Membre 11
     
    Il t'indique toujours la même chose qu'au poste 5/?

    Ceci C:\SYSTEM VOLUME INFORMATION\_RESTORE c'est ta restauration du système.
    Ce que tu m'indique montre qu'elle est inféctée, le fait de l'avoir désactivé, supprime tes anciens points de restauration (donc ceux qui sont infécté), puis quand tu la réactive un nouveau point est créer.

    Fait ceci

    telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancer)

    (1) ad-aware version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip

    (2) spybot version 1.4

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    et aussi ceci

    (3) Ccleaner :
    Télécharge Ccleaner ici :
    https://www.ccleaner.com/ccleaner/download

    Tutorial ici:
    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    (4) Ewido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.
    Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.
    Clique sur scanner puis sur scan complet du système.
    A la fin cliquer sur Apply all actions
    Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

    Coller le rapport dans votre prochaine réponse.

    Tutorial ici :
    http://perso.wanadoo.fr/entraide-hijackthis/Ewido/

    (5) Pour vérifier, scanne ton PC avec cet antivirus en ligne :
    https://www.bitdefender.com/toolbox/
    0
    1. whiterasta Messages postés 31 Statut Membre
       
      merci jviens de redémarrer apparament le probleme est résolu merci de ton aide et de tes conseils concernant les posts :)))
      0
  8. Roger54 Messages postés 172 Statut Membre 11
     
    Heureux pour toi alors.

    Bonne continuation
    0
    1. whiterasta Messages postés 31 Statut Membre
       
      merci à toi pour ton qui m'a été précieuse
      0
  9. pelik
     
    bonjour moi osi j ai un cheval de troie et j ai f-secure mais il ne le detect pas mais par contre il a trouver un trojan, j ai doctor spyware et aol spyare comment nettoyer sans formater merci davance
    0
  10. anouar254 Messages postés 2 Date d'inscription   Statut Membre
     
    merci beaucoup
    0