[Trojan]clé du registre impossible àsupprimer
Résolu/Fermé
ordinat
Messages postés
67
Date d'inscription
mercredi 15 février 2006
Statut
Membre
Dernière intervention
26 septembre 2013
-
12 nov. 2006 à 21:12
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 17 nov. 2006 à 19:45
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 17 nov. 2006 à 19:45
A voir également:
- [Trojan]clé du registre impossible àsupprimer
- Clé windows 10 - Guide
- Clé de registre - Guide
- Cle usb non reconnu - Guide
- Clé bootable windows 10 - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
7 réponses
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
12 nov. 2006 à 21:19
12 nov. 2006 à 21:19
Salut
Télécharger haxfix.exe
http://users.telenet.be/marcvn/tools/haxfix.exe
et le sauvegarde sur le bureau.
Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
Cocher "Create a desktop icon"
Cliquer "Next"
Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
Cliquer "Finish"
Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
4. Run wnlogow fix (lancer la réparation pour wnlogow)
E. Exit Haxfix (quitter Haxfix)
Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
A+
Télécharger haxfix.exe
http://users.telenet.be/marcvn/tools/haxfix.exe
et le sauvegarde sur le bureau.
Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
Cocher "Create a desktop icon"
Cliquer "Next"
Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
Cliquer "Finish"
Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
4. Run wnlogow fix (lancer la réparation pour wnlogow)
E. Exit Haxfix (quitter Haxfix)
Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
A+
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
12 nov. 2006 à 21:31
12 nov. 2006 à 21:31
Re,
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
ordinat
Messages postés
67
Date d'inscription
mercredi 15 février 2006
Statut
Membre
Dernière intervention
26 septembre 2013
2
12 nov. 2006 à 21:46
12 nov. 2006 à 21:46
Resalut, voila ce que donne Hijackthis
Logfile of HijackThis v1.99.1 Scan saved at 21:44:27, on 12/11/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/... R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D50B15-6ECC-41C6-9BA5-7D4AC0BBE076}: NameServer = 80.10.246.1 80.10.246.132 O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B92C98-BDAD-43E1-B277-C96360E42D63}: NameServer = 80.10.246.3,80.10.246.130 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - (no file) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
13 nov. 2006 à 18:26
13 nov. 2006 à 18:26
Salut
Tu as scanné ton pc avec AVG AS?
A+
Tu as scanné ton pc avec AVG AS?
A+
ordinat
Messages postés
67
Date d'inscription
mercredi 15 février 2006
Statut
Membre
Dernière intervention
26 septembre 2013
2
13 nov. 2006 à 19:57
13 nov. 2006 à 19:57
Oui déja fait, il ne detecte pas la clé du registre signalée par Xoftspy.
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
14 nov. 2006 à 18:20
14 nov. 2006 à 18:20
Re,
Ou en sont tes soucis?
a+
Ou en sont tes soucis?
a+
ordinat
Messages postés
67
Date d'inscription
mercredi 15 février 2006
Statut
Membre
Dernière intervention
26 septembre 2013
2
15 nov. 2006 à 11:21
15 nov. 2006 à 11:21
Et bien, j'ai formatté et réinstaller zindoz et devinne quoi la clé est toujours là, je me demande si c'est pas Xoftspy qui déconne car:
-c'est le seul à trouver que c'est une menace
-peut etre qu'elle est installée par un programme qui lui est innofensif
-quand je teste le firewall sur grc.com tout est hermetique donc je ne sais pas quoi faire
Il y a une chose bizarre: quand je supprime la clé du registre l'ordinateur m'affiche un ecran bleu (pas le temps de lire ce qu'il dit) puis redémarre mais ildémarre normalement en mode sans echec ! je pense donc qu'il doit y avoir un programme ou un service qui a besoin de cette clé pour fonctionner correctement...
En tout cas l'ordi à l'air de fonctionner normalement même avec cette maudite entrée dans la bas de registre, il n'y a pas de ralentissement pas de traffic suspect alos la question reste ouverte.
-c'est le seul à trouver que c'est une menace
-peut etre qu'elle est installée par un programme qui lui est innofensif
-quand je teste le firewall sur grc.com tout est hermetique donc je ne sais pas quoi faire
Il y a une chose bizarre: quand je supprime la clé du registre l'ordinateur m'affiche un ecran bleu (pas le temps de lire ce qu'il dit) puis redémarre mais ildémarre normalement en mode sans echec ! je pense donc qu'il doit y avoir un programme ou un service qui a besoin de cette clé pour fonctionner correctement...
En tout cas l'ordi à l'air de fonctionner normalement même avec cette maudite entrée dans la bas de registre, il n'y a pas de ralentissement pas de traffic suspect alos la question reste ouverte.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
15 nov. 2006 à 20:00
15 nov. 2006 à 20:00
Salut
Apparemment ca semble etre une mauvaise détection, en tout cas pour moi.
Si apres suppression , tu as des ecrans bleus , c est que cette clé est bonne.
Je pense qu il "confond" avec ceci:
http://www.sophos.com/security/analyses/trojhaxdooro.html
https://www.broadcom.com/support/security-center
A+
Apparemment ca semble etre une mauvaise détection, en tout cas pour moi.
Si apres suppression , tu as des ecrans bleus , c est que cette clé est bonne.
Je pense qu il "confond" avec ceci:
http://www.sophos.com/security/analyses/trojhaxdooro.html
https://www.broadcom.com/support/security-center
A+
ordinat
Messages postés
67
Date d'inscription
mercredi 15 février 2006
Statut
Membre
Dernière intervention
26 septembre 2013
2
16 nov. 2006 à 10:31
16 nov. 2006 à 10:31
Salut,
en faisant des recherches sur le net je me suis rendu compte que je n'étais pas le seul dans ce cas, en fait cette entrée dans la base de registre est créée par outpost firwall !!! donc le seul moyen de se débarrasser de la clé est de désinstaller outpost mais que je suis satisfait e ce dernier et que je n'ai pas envie de reparametrer un autre firewall je vais laisser tel quel, apperemment cette clé ne présente pas un très grand risque car de toute façon même si on la supprime et qu'on est infecté par un trojan qui l'utilise et ben il la créera quand même !
Ce qui est dommage c'est que je ne retrouve plus le forum dans lequel il parlaient de ce problème.
@+
en faisant des recherches sur le net je me suis rendu compte que je n'étais pas le seul dans ce cas, en fait cette entrée dans la base de registre est créée par outpost firwall !!! donc le seul moyen de se débarrasser de la clé est de désinstaller outpost mais que je suis satisfait e ce dernier et que je n'ai pas envie de reparametrer un autre firewall je vais laisser tel quel, apperemment cette clé ne présente pas un très grand risque car de toute façon même si on la supprime et qu'on est infecté par un trojan qui l'utilise et ben il la créera quand même !
Ce qui est dommage c'est que je ne retrouve plus le forum dans lequel il parlaient de ce problème.
@+
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
16 nov. 2006 à 19:21
16 nov. 2006 à 19:21
Salut
Oui j ai regardé egalement.
En fait, les infections que je te cite au dessu, sur les liens, mentionnent cette clé.
Elle est utilisé aussi par ce pare feu.
Ainsi, il y a confusion.
Rien de grave finalement. Des questions?
a+
Oui j ai regardé egalement.
En fait, les infections que je te cite au dessu, sur les liens, mentionnent cette clé.
Elle est utilisé aussi par ce pare feu.
Ainsi, il y a confusion.
Rien de grave finalement. Des questions?
a+
ordinat
Messages postés
67
Date d'inscription
mercredi 15 février 2006
Statut
Membre
Dernière intervention
26 septembre 2013
2
17 nov. 2006 à 18:31
17 nov. 2006 à 18:31
Oh non aucune question, en tout cas merci de m'avoir répondu et au prochain virusspymachinchouette !
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
17 nov. 2006 à 19:45
17 nov. 2006 à 19:45
Salut
De rien !
Avec plaisir et certainement a bientot.
Bonne soirée et bon week end.
De rien !
Avec plaisir et certainement a bientot.
Bonne soirée et bon week end.
12 nov. 2006 à 21:22