[Trojan]clé du registre impossible àsupprimer
Résolu
ordinat
Messages postés
73
Statut
Membre
-
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Salut à tous,
je scanne régulièrement mon pc avec divers antispywares et voilà qu'il y a quelques jours le logiciel Xoftspy me signale une clé de la base de registre comme étant le trojan haxdoor, la clé en question c'est :
Le problème c'est que si je supprime cette valeur du registre l'ordianteur se met à redemarrer en boucle ! Et ce qui est bizarre c'est que j'ai fais l'analyse complète du systeme avec : avast, a2, spybot S&D, adaware et tout a été nettoyé mais il ne reste que cette clé de registre que seul Xoftspy me signale !?
comment faire? merci.
je scanne régulièrement mon pc avec divers antispywares et voilà qu'il y a quelques jours le logiciel Xoftspy me signale une clé de la base de registre comme étant le trojan haxdoor, la clé en question c'est :
HKLM\system\currentcontrolset\control\session manager\memory management\enforcewriteprotection
Le problème c'est que si je supprime cette valeur du registre l'ordianteur se met à redemarrer en boucle ! Et ce qui est bizarre c'est que j'ai fais l'analyse complète du systeme avec : avast, a2, spybot S&D, adaware et tout a été nettoyé mais il ne reste que cette clé de registre que seul Xoftspy me signale !?
comment faire? merci.
A voir également:
- [Trojan]clé du registre impossible àsupprimer
- Registre windows - Guide
- Clé usb non détectée - Guide
- Clé windows 8 - Guide
- Clé usb - Accueil - Stockage
- Formater clé usb - Guide
7 réponses
Salut
Télécharger haxfix.exe
http://users.telenet.be/marcvn/tools/haxfix.exe
et le sauvegarde sur le bureau.
Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
Cocher "Create a desktop icon"
Cliquer "Next"
Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
Cliquer "Finish"
Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
4. Run wnlogow fix (lancer la réparation pour wnlogow)
E. Exit Haxfix (quitter Haxfix)
Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
A+
Télécharger haxfix.exe
http://users.telenet.be/marcvn/tools/haxfix.exe
et le sauvegarde sur le bureau.
Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
Cocher "Create a desktop icon"
Cliquer "Next"
Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
Cliquer "Finish"
Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
4. Run wnlogow fix (lancer la réparation pour wnlogow)
E. Exit Haxfix (quitter Haxfix)
Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
A+
ordinat
Messages postés
73
Statut
Membre
2
Salut et merci pour la réponse rapide, voici ce que donne haxfix
Re,
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
Resalut, voila ce que donne Hijackthis
Logfile of HijackThis v1.99.1 Scan saved at 21:44:27, on 12/11/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/... R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D50B15-6ECC-41C6-9BA5-7D4AC0BBE076}: NameServer = 80.10.246.1 80.10.246.132 O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B92C98-BDAD-43E1-B277-C96360E42D63}: NameServer = 80.10.246.3,80.10.246.130 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - (no file) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Re,
Ou en sont tes soucis?
a+
Ou en sont tes soucis?
a+
Et bien, j'ai formatté et réinstaller zindoz et devinne quoi la clé est toujours là, je me demande si c'est pas Xoftspy qui déconne car:
-c'est le seul à trouver que c'est une menace
-peut etre qu'elle est installée par un programme qui lui est innofensif
-quand je teste le firewall sur grc.com tout est hermetique donc je ne sais pas quoi faire
Il y a une chose bizarre: quand je supprime la clé du registre l'ordinateur m'affiche un ecran bleu (pas le temps de lire ce qu'il dit) puis redémarre mais ildémarre normalement en mode sans echec ! je pense donc qu'il doit y avoir un programme ou un service qui a besoin de cette clé pour fonctionner correctement...
En tout cas l'ordi à l'air de fonctionner normalement même avec cette maudite entrée dans la bas de registre, il n'y a pas de ralentissement pas de traffic suspect alos la question reste ouverte.
-c'est le seul à trouver que c'est une menace
-peut etre qu'elle est installée par un programme qui lui est innofensif
-quand je teste le firewall sur grc.com tout est hermetique donc je ne sais pas quoi faire
Il y a une chose bizarre: quand je supprime la clé du registre l'ordinateur m'affiche un ecran bleu (pas le temps de lire ce qu'il dit) puis redémarre mais ildémarre normalement en mode sans echec ! je pense donc qu'il doit y avoir un programme ou un service qui a besoin de cette clé pour fonctionner correctement...
En tout cas l'ordi à l'air de fonctionner normalement même avec cette maudite entrée dans la bas de registre, il n'y a pas de ralentissement pas de traffic suspect alos la question reste ouverte.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut
Apparemment ca semble etre une mauvaise détection, en tout cas pour moi.
Si apres suppression , tu as des ecrans bleus , c est que cette clé est bonne.
Je pense qu il "confond" avec ceci:
http://www.sophos.com/security/analyses/trojhaxdooro.html
https://www.broadcom.com/support/security-center
A+
Apparemment ca semble etre une mauvaise détection, en tout cas pour moi.
Si apres suppression , tu as des ecrans bleus , c est que cette clé est bonne.
Je pense qu il "confond" avec ceci:
http://www.sophos.com/security/analyses/trojhaxdooro.html
https://www.broadcom.com/support/security-center
A+
Salut,
en faisant des recherches sur le net je me suis rendu compte que je n'étais pas le seul dans ce cas, en fait cette entrée dans la base de registre est créée par outpost firwall !!! donc le seul moyen de se débarrasser de la clé est de désinstaller outpost mais que je suis satisfait e ce dernier et que je n'ai pas envie de reparametrer un autre firewall je vais laisser tel quel, apperemment cette clé ne présente pas un très grand risque car de toute façon même si on la supprime et qu'on est infecté par un trojan qui l'utilise et ben il la créera quand même !
Ce qui est dommage c'est que je ne retrouve plus le forum dans lequel il parlaient de ce problème.
@+
en faisant des recherches sur le net je me suis rendu compte que je n'étais pas le seul dans ce cas, en fait cette entrée dans la base de registre est créée par outpost firwall !!! donc le seul moyen de se débarrasser de la clé est de désinstaller outpost mais que je suis satisfait e ce dernier et que je n'ai pas envie de reparametrer un autre firewall je vais laisser tel quel, apperemment cette clé ne présente pas un très grand risque car de toute façon même si on la supprime et qu'on est infecté par un trojan qui l'utilise et ben il la créera quand même !
Ce qui est dommage c'est que je ne retrouve plus le forum dans lequel il parlaient de ce problème.
@+
