Probleme apres avoir enlevé un trojan

cowboy63 Messages postés 24 Statut Membre -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

j'ai un windows 32 xp pro puis un jour j'ai recu un message de la gendarmerie qui me demandé de payer une amende. mon ordi était bloqué. on m'a dit que c'était un espion alors j'ai utilisé spybot en mode sans echec/ il a reperé quelques trucs mais tjrs bloqué. alors j'ai regardé les fichiers qui se mettaient en marche au demarrage tjrs avec spybot puis j'en ai effacé deux qui me semblé louche.ca a marché. puis j'ai du modifier d'autres preset dans la panique car maintenant les antivirus avira et avast sont stoppé pas moyens de les relancer en mode guard puis l'ordinateur ne reconnait plus mes peripheriques sons. il sont en état correct il dit mait je n'ai aucun choix dans la liste elle est grise et innactive pourtant les codecs sont présents.pfoo j'en ai trop marre quoi.

ps: j'ai effacé des point exe qui se situés ds application data je crois et qui se mettait en route des le demarrage avec un nom genre (ttreererktyvgjh et njjiijio)
puis les malware trouvé et corrigé sont des "complitly" avec plein de chiffre peut etre j'en ai effacé aussi.

si vous pouvez un peu m'éclaircir sur se que tt cela signifie et peut etre trouver pourquoi maintenant l'ordinateur n'est pas content ca pourrait m'aider/ merci pour votre attention

chussy

33 réponses

  • 1
  • 2
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge et lance RogueKiller (de Tigzy), choisis l'option "Suppression" et poste le rapport :
    https://www.commentcamarche.net/faq/30719-utiliser-roguekiller
    1
  2. Utilisateur anonyme
     
    @cowboy63

    Juste pour info: Ce n'est pas un espion, mais un trojan.
    0
  3. cowboy63 Messages postés 24 Statut Membre
     
    ok je vous tiens au courant et au fait quand je vais ds controle du volume il marque exactement:
    aucun peripherique melangeur n'est disponible. Pour installer des peripheriques de mixage, allez dans panneau de configuration, cliquez sur imprimantes et autres peripheriques puis cliquez sur ajout de nouveau materiel. ce programme va maintenant se ferm"
    voilà et dans ajout il dit tt est normal les codecs sont là et tout marche correctement sauf qu'aucun peripherique son n'est dispo donc rien ne marche bon je vais voir pour le rapport.
    0
  4. cowboy63 Messages postés 24 Statut Membre
     
    bon voila le rapport de rogue killer :

    RogueKiller V7.5.4 [07/06/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: petit_scarabe [Droits d'admin]
    Mode: Suppression -- Date: 12/06/2012 15:01:28

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤
    SSDT[53] : NtCreateThread @ 0x805CF804 -> HOOKED (Unknown @ 0xBAFF8584)
    SSDT[98] : NtLoadKey @ 0x80623D78 -> HOOKED (Unknown @ 0xBAFF85A2)
    SSDT[193] : NtReplaceKey @ 0x80623C28 -> HOOKED (Unknown @ 0xBAFF85AC)
    SSDT[213] : NtSetContextThread @ 0x805CFF26 -> HOOKED (Unknown @ 0xBAFF85E3)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xBAFF85E8)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xBAFF85ED)

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 activate.adobe.com
    127.0.0.1 practivate.adobe.com
    127.0.0.1 ereg.adobe.com
    127.0.0.1 activate.wip3.adobe.com
    127.0.0.1 wip3.adobe.com
    127.0.0.1 3dns-3.adobe.com
    127.0.0.1 3dns-2.adobe.com
    127.0.0.1 adobe-dns.adobe.com
    127.0.0.1 adobe-dns-2.adobe.com
    127.0.0.1 adobe-dns-3.adobe.com
    127.0.0.1 ereg.wip3.adobe.com
    127.0.0.1 activate-sea.adobe.com
    127.0.0.1 wwis-dubc1-vip60.adobe.com
    127.0.0.1 activate-sjc0.adobe.com
    127.0.0.1 adobe.activate.com
    127.0.0.1 adobeereg.com
    127.0.0.1 www.adobeereg.com
    127.0.0.1 wwis-dubc1-vip60.adobe.com
    127.0.0.1 125.252.224.90
    127.0.0.1 125.252.224.91
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9250320AS +++++
    --- User ---
    [MBR] d77127f082bbc083eb7f700388c03c57
    [BSP] 4b2f2e67f72c8e192ea0e0c93430360f : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST9250320AS +++++
    --- User ---
    [MBR] 0b58ea64ef9b58ae04e0af08e6425d89
    [BSP] 72cce0d28eeaccf11d484895bc05397e : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 40538 Mo
    1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 83023920 | Size: 197933 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt"

    --> Tu l'as lancé deux fois ?
    0
  7. cowboy63 Messages postés 24 Statut Membre
     
    il y a un dossier avec :
    NewStartPanel_{20D04FE0-3AEA-1069-A2D8-08002B30309D}0.reg
    PhysicalDrive0_User.dat
    PhysicalDrive1_User.dat

    en quarantine sur le bureau

    dois je le supprimer?
    j'ai redemarrer et tjrs les mm problemes
    est possible que spy bot bloque les antivirus? je l'ai pourtant deinstallé et reinstallé mais rien ne change non plus. trop triste.
    0
  8. cowboy63 Messages postés 24 Statut Membre
     
    non c'est juste qu'il avait deja fait un rapport automatiquement et je lui est quand mm dit d'en refaire un sur le bureau c'est les mm
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Désinstalle Spybot, il ne sert à rien à part gêner la désinfection.

    --> Télécharge ZHPDiag (de Nicolas Coolman).

    --> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

    --> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
    (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)

    --> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

    --> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.

    --> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.
    0
  10. cowboy63 Messages postés 24 Statut Membre
     
    voilà le un

    RogueKiller V7.5.4 [07/06/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: petit_scarabe [Droits d'admin]
    Mode: Recherche -- Date: 12/06/2012 15:01:05

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤
    SSDT[53] : NtCreateThread @ 0x805CF804 -> HOOKED (Unknown @ 0xBAFF8584)
    SSDT[98] : NtLoadKey @ 0x80623D78 -> HOOKED (Unknown @ 0xBAFF85A2)
    SSDT[193] : NtReplaceKey @ 0x80623C28 -> HOOKED (Unknown @ 0xBAFF85AC)
    SSDT[213] : NtSetContextThread @ 0x805CFF26 -> HOOKED (Unknown @ 0xBAFF85E3)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xBAFF85E8)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xBAFF85ED)

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 activate.adobe.com
    127.0.0.1 practivate.adobe.com
    127.0.0.1 ereg.adobe.com
    127.0.0.1 activate.wip3.adobe.com
    127.0.0.1 wip3.adobe.com
    127.0.0.1 3dns-3.adobe.com
    127.0.0.1 3dns-2.adobe.com
    127.0.0.1 adobe-dns.adobe.com
    127.0.0.1 adobe-dns-2.adobe.com
    127.0.0.1 adobe-dns-3.adobe.com
    127.0.0.1 ereg.wip3.adobe.com
    127.0.0.1 activate-sea.adobe.com
    127.0.0.1 wwis-dubc1-vip60.adobe.com
    127.0.0.1 activate-sjc0.adobe.com
    127.0.0.1 adobe.activate.com
    127.0.0.1 adobeereg.com
    127.0.0.1 www.adobeereg.com
    127.0.0.1 wwis-dubc1-vip60.adobe.com
    127.0.0.1 125.252.224.90
    127.0.0.1 125.252.224.91
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9250320AS +++++
    --- User ---
    [MBR] d77127f082bbc083eb7f700388c03c57
    [BSP] 4b2f2e67f72c8e192ea0e0c93430360f : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST9250320AS +++++
    --- User ---
    [MBR] 0b58ea64ef9b58ae04e0af08e6425d89
    [BSP] 72cce0d28eeaccf11d484895bc05397e : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 40538 Mo
    1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 83023920 | Size: 197933 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  11. cowboy63 Messages postés 24 Statut Membre
     
    salut destrio5
    bon j'ai fait comme tu m'as dit mais quand je clic sur executer en tant qu'administrateur il me repond que c'est impossible de l'utiliser en mode sans echec! dois je aller dans la session admin et repeter le processus ou encore choisir petit scarabee?
    0
  12. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Utilise ta session habituelle en mode normal.
    0
  13. cowboy63 Messages postés 24 Statut Membre
     
    est ce que mes deux antivirus avira et avast peuvent rentrés en conflit?
    et au sujet des fichiers dans le dossier sur le bureau en quarantine dois je les effacer? (RK_Quarantine)
    0
    1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      Oui, il faut garder qu'un seul antivirus.

      Pour le dossier, laisse-le pour l'instant.

      Je vais regarder le rapport.
      0
  14. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu as Windows XP Unicornis, c'est une version illégale.

    --> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
    http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
    0
  15. cowboy63 Messages postés 24 Statut Membre
     
    j'ai une carte son externe aussi et normalement quand je demarre avec elle l'ordi la reconnait automatiquement et la rien pourtant quand asus apparait au demarrage le son de bienvenu sort des enceintes de l'ordi/
    0
  16. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Dans le gestionnaire de périphériques, tu vois ta carte son ?

    --> Relance AdwCleaner et choisis "Désinstallation".

    --> Je voudrais un nouveau rapport ZHPDiag.
    0
  17. cowboy63 Messages postés 24 Statut Membre
     
    c'est une m audio fast track ultra et celle de l'ordi c'est realtek hd audio

    voici le rapport
    https://pjjoint.malekal.com/files.php?id=20120612_f7v14r7n6l13

    il a trouvé quelquechose!! dois je le supprimé je n'ai pas fermé le logiciel
    0
    1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      Oui. Je vais te faire un script pour ZHPFix.
      0
  • 1
  • 2