Trouver et détruire un " trojan" ???

Question

Bonjour à tous et à toutes,

j'ai trouvé quelques infos sur le forum... mais c'est pas simple pour moi.

Visiblement mon compte hotmail a été " piraté " par un trojan qui envoi des e-mails à mes contacts.
Mon compte a été bloqué ( je l'ai récupéré), MSN a placé une série de message douteux dans le dossier supprimé  genre Making Real Money Online has 

http://www.... ( lien  pourri donc )

j'ai changé mon de passe pour mon mail.

Comment analyser correctement mon pc et être certains que j'ai bien éliminé la menace ?
j'utilise spyboot et anti-vir est-ce suffisant ?


d'avance merci.

bonne journée

g3n-h@ckm@n · Answer

salut desinstalle spybot c'est de la crotte en barre

=======

 &#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur" 

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

libsou · Answer

ok  merci !


je viens d'essayer, mais j'ai arrêté le logiciel usbfix.
Je trouvais ca assez long, est ce normal ?

Merci encore pour votre aide

g3n-h@ckm@n · Answer

fais-le en mode sans echec

libsou · Answer

bonjour, 

merci, j'ai vu votre message hier, entre temps j'ai installé malwarebytes  comme vous suggériez que spyboot était pas top.
Il m'a trouvé quelques saletés dont des trojans.
j'ai aussi relancé l'ordi a partir du dernier point de sauvegarde...
au redémarrage le système a détecté mon lecteur dvd / cd et l'a réinstallé.
( jamais remarqué qu'il ne fonctionnait plus

j'ai relancé malwarebytes et plus rien.

j'ai fait tourner usbfix en mode sans échec, voici le rapport, merci encore pour votre aide :

############################## | UsbFix V 7.102 | [Suppression]

Utilisateur: Seb & Isa (Administrateur) # SEB-773793D046F
Mis à jour le 20/12/2012 par El Desaparecido
Lancé à 09:58:43 | 22/12/2012

Site Web: https://www.sosvirus.net/
Contact: contact@eldesaparecido.com

PC: MICRO-STAR INTERNATIONAL CO., LTD (MS-7253) (X86-based PC
CPU: AMD Athlon(tm) 64 Processor 3500+ (2199)
RAM -> [Total : 1022 | Free : 748]
BIOS: )Phoenix - Award WorkstationBIOS v6.00PG
BOOT: Fail-safe boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 6.0.2900.2180

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 98 Go (33 Go libre(s) - 34%) [Partition 1] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 51 Go (12 Go libre(s) - 23%) [Partition 2] # NTFS
F:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (188)
C:\WINDOWS\system32\winlogon.exe (260)
C:\WINDOWS\system32\services.exe (304)
C:\WINDOWS\system32\lsass.exe (316)
C:\WINDOWS\system32\svchost.exe (472)
C:\WINDOWS\system32\svchost.exe (576)
C:\WINDOWS\Explorer.EXE (796)
C:\UsbFix\Go.exe (1008)

################## | Processus Stoppés |

Stoppé! C:\WINDOWS\Explorer.EXE (796)

################## | Éléments infectieux |

Supprimé! C:\Recycler\S-1-5-21-117609710-583907252-839522115-1003
Supprimé! C:\Recycler\S-1-5-21-117609710-583907252-839522115-1005
Supprimé! E:\Recycler\S-1-5-21-117609710-583907252-839522115-1003
Supprimé! E:\Recycler\S-1-5-21-117609710-583907252-839522115-1005

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c751baba-ba7f-11e0-9178-0016178e694b}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ec09e1b2-2ef8-11de-8f0e-8857d973abaa}

################## | Listing |

[12/06/2010 - 10:00:20 | N | 626754] 	C:\001.itc
[10/01/2007 - 12:19:51 | N | 0] 	C:\AUTOEXEC.BAT
[12/06/2009 - 08:21:41 | N | 212] 	C:\boot.ini
[05/12/2008 - 17:53:07 | N | 137640] 	C:\bootex.log
[07/09/2002 - 01:00:00 | N | 4952] 	C:\Bootfont.bin
[15/04/2007 - 09:15:51 | D ] 	C:\Brother
[17/12/2012 - 19:20:39 | D ] 	C:\Config.Msi
[10/01/2007 - 12:19:51 | N | 0] 	C:\CONFIG.SYS
[11/01/2007 - 10:51:42 | D ] 	C:\C_DILLA
[30/11/2011 - 19:39:47 | D ] 	C:\Documents and Settings
[14/12/2008 - 20:25:30 | D ] 	C:\Downloaded Videos
[26/03/2011 - 17:10:48 | N | 51576832] 	C:\dump_dvd.vob
[12/10/2010 - 16:53:44 | D ] 	C:\found.000
[18/11/2010 - 10:50:15 | D ] 	C:\found.001
[05/06/2011 - 09:35:55 | D ] 	C:\found.002
[08/09/2011 - 20:30:28 | D ] 	C:\found.003
[30/07/2012 - 18:02:23 | D ] 	C:\found.004
[30/11/2012 - 09:13:09 | D ] 	C:\found.005
[03/11/2008 - 20:29:34 | N | 137] 	C:\INSTALL.LOG
[10/01/2007 - 12:19:51 | N | 0] 	C:\IO.SYS
[10/01/2007 - 12:19:51 | N | 0] 	C:\MSDOS.SYS
[10/01/2007 - 12:43:35 | RHD ] 	C:\MSOCache
[04/08/2004 - 03:38:34 | N | 47564] 	C:\NTDETECT.COM
[04/08/2004 - 03:59:44 | N | 251712] 	C:
tldr
[22/12/2012 - 09:56:35 | ASH | 1610612736] 	C:\pagefile.sys
[20/12/2012 - 22:23:59 | D ] 	C:\Program Files
[22/12/2012 - 10:11:32 | SHD ] 	C:\RECYCLER
[25/08/2007 - 17:11:55 | D ] 	C:\SAVE
[25/08/2007 - 17:06:35 | D ] 	C:\Sierra
[06/06/2010 - 18:24:20 | D ] 	C:\Sounds
[25/12/2008 - 11:05:26 | N | 268] 	C:\sqmdata00.sqm
[26/12/2008 - 09:17:57 | N | 268] 	C:\sqmdata01.sqm
[25/01/2009 - 18:01:30 | N | 268] 	C:\sqmdata02.sqm
[24/02/2009 - 09:28:18 | N | 268] 	C:\sqmdata03.sqm
[12/03/2009 - 14:14:31 | N | 268] 	C:\sqmdata04.sqm
[27/03/2009 - 11:00:55 | N | 268] 	C:\sqmdata05.sqm
[15/04/2009 - 09:23:13 | N | 268] 	C:\sqmdata06.sqm
[13/05/2009 - 23:37:16 | N | 268] 	C:\sqmdata07.sqm
[14/05/2009 - 08:59:33 | N | 268] 	C:\sqmdata08.sqm
[11/06/2009 - 21:43:22 | N | 268] 	C:\sqmdata09.sqm
[12/06/2009 - 08:21:44 | N | 268] 	C:\sqmdata10.sqm
[26/06/2009 - 19:42:04 | N | 268] 	C:\sqmdata11.sqm
[26/06/2009 - 22:27:55 | N | 232] 	C:\sqmdata12.sqm
[27/06/2009 - 14:13:42 | N | 268] 	C:\sqmdata13.sqm
[28/06/2009 - 21:46:16 | N | 268] 	C:\sqmdata14.sqm
[29/06/2009 - 22:06:56 | N | 268] 	C:\sqmdata15.sqm
[14/07/2009 - 23:51:30 | N | 268] 	C:\sqmdata16.sqm
[27/07/2009 - 22:41:16 | N | 268] 	C:\sqmdata17.sqm
[28/07/2009 - 22:17:12 | N | 268] 	C:\sqmdata18.sqm
[24/08/2009 - 17:47:17 | N | 268] 	C:\sqmdata19.sqm
[25/12/2008 - 11:05:26 | N | 244] 	C:\sqmnoopt00.sqm
[26/12/2008 - 09:17:57 | N | 244] 	C:\sqmnoopt01.sqm
[25/01/2009 - 18:01:29 | N | 244] 	C:\sqmnoopt02.sqm
[24/02/2009 - 09:28:18 | N | 244] 	C:\sqmnoopt03.sqm
[12/03/2009 - 14:14:31 | N | 244] 	C:\sqmnoopt04.sqm
[27/03/2009 - 11:00:55 | N | 244] 	C:\sqmnoopt05.sqm
[15/04/2009 - 09:23:12 | N | 244] 	C:\sqmnoopt06.sqm
[13/05/2009 - 23:37:16 | N | 244] 	C:\sqmnoopt07.sqm
[14/05/2009 - 08:59:32 | N | 244] 	C:\sqmnoopt08.sqm
[11/06/2009 - 21:43:22 | N | 244] 	C:\sqmnoopt09.sqm
[12/06/2009 - 08:21:44 | N | 244] 	C:\sqmnoopt10.sqm
[26/06/2009 - 19:42:04 | N | 244] 	C:\sqmnoopt11.sqm
[26/06/2009 - 22:27:55 | N | 244] 	C:\sqmnoopt12.sqm
[27/06/2009 - 14:13:42 | N | 244] 	C:\sqmnoopt13.sqm
[28/06/2009 - 21:46:16 | N | 244] 	C:\sqmnoopt14.sqm
[29/06/2009 - 22:06:56 | N | 244] 	C:\sqmnoopt15.sqm
[14/07/2009 - 23:51:30 | N | 244] 	C:\sqmnoopt16.sqm
[27/07/2009 - 22:41:16 | N | 244] 	C:\sqmnoopt17.sqm
[28/07/2009 - 22:17:12 | N | 244] 	C:\sqmnoopt18.sqm
[24/08/2009 - 17:47:17 | N | 244] 	C:\sqmnoopt19.sqm
[07/09/2010 - 09:05:43 | SHD ] 	C:\System Volume Information
[31/07/2011 - 12:55:37 | D ] 	C:\Temp
[22/12/2012 - 10:11:32 | D ] 	C:\UsbFix
[22/12/2012 - 10:11:32 | A | 1732] 	C:\UsbFix.txt
[22/12/2012 - 09:54:42 | D ] 	C:\WINDOWS
[29/04/2008 - 20:59:55 | D ] 	C:\_version_1_2
[03/02/2007 - 20:49:32 | D ] 	E:\divers
[13/01/2007 - 11:53:14 | D ] 	E:\DOSSIER MP3
[12/01/2007 - 22:06:02 | D ] 	E:\DOSSIER SOFTWARE
[15/12/2012 - 11:56:44 | D ] 	E:\films
[30/11/2011 - 19:40:37 | D ] 	E:\Google Desktop Data
[13/01/2007 - 12:08:08 | D ] 	E:\GUITARE  PRO
[10/10/2010 - 14:31:17 | D ] 	E:\jeux
[01/02/2011 - 21:11:31 | D ] 	E:\msdownld.tmp
[22/12/2012 - 10:11:32 | SHD ] 	E:\RECYCLER
[07/09/2010 - 09:05:43 | SHD ] 	E:\System Volume Information
[22/05/2012 - 22:07:02 | D ] 	E:\video avi
[06/11/2012 - 19:29:22 | D ] 	E:\vidéos Mael

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SEB-773793D046F.zip
http://eldesaparecido.com/upload.php
Merci de votre contribution.

################## | E.O.F |

g3n-h@ckm@n · Answer

je peux avoir le rapport de malwarebytes relatant les infections suppprimées ?

n'execute rien de ton propre chef tu chamboules la desinfection

libsou · Answer

voici un premier rapport

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.20.10

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Seb & Isa :: SEB-773793D046F [administrateur]

Protection: Activé

20/12/2012 22:29:37
mbam-log-2012-12-20 (22-29-37).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 258414
Temps écoulé: 48 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A26F07F-0D60-4835-91CF-1E1766A0EC56} (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545D8C8-F53C-4E2F-8FA0-D248EF4A6E61} (Rogue.Installer) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\2SPI9KEA4C (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Documents and Settings\All Users\Application Data\IBUpdaterService (PUP.InstallBrain) -> Aucune action effectuée.

Fichier(s) détecté(s): 8
C:\Documents and Settings\Seb & Isa\Mes documents\Downloads\SoftonicDownloader_pour_free-youtube-to-mp3-converter.exe (PUP.OfferBundler.ST) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Aucune action effectuée.
C:\Documents and Settings\Seb & Isa\Mes documents\Downloads\VideoLan.exe (Trojan.SMSScam) -> Mis en quarantaine et supprimé avec succès.
C:\captura.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
C:\codigo1.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
C:\codigo2.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
C:\codigo3.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.
C:\codigo4.bmp (Malware.Traces) -> Mis en quarantaine et supprimé avec succès.

(fin)

libsou · Answer

et le deuxieme

(merci encore )

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.22.02

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Seb & Isa :: SEB-773793D046F [administrateur]

Protection: Activé

22/12/2012 09:01:22
mbam-log-2012-12-22 (09-01-22).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 258874
Temps écoulé: 44 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

libsou · Answer

bon ben c'est pas genial :(

j'ai installé l'exe sur le bureau, j'ai coupé mes protections
et j'ai lancé le scan


je l'ai laissé travailler, quand je suis revenu mon écran était complètement noir,
j'ai attendu... et rien, finalement j'ai redémarrer mon pc, mais mon écran reste noir.
j'ai essayé plusieurs fois, je l'ai nettoyer, le voyant lumineux clignote, donc le processeur travaille mais plus aucun affichage :(

g3n-h@ckm@n · Answer

t'as meme pas le nom du fabriquant du pc comme d(habitude qui s'affiche ?

c'est un pc portable ?

libsou · Answer

non même plus, non ce n'est pas un portable c'est un desktop, carte graphique naze ?

g3n-h@ckm@n · Answer

nan

eteind-le

vire la batterie

reste appuyé sur le bouton power pendant bien.....5 mn

ensuite remets la batterie , et rallume-le normalement je m'absente un peu à toute

libsou · Answer

salut

j'ai eu une image au démarrage en le redémarrant mais sans la pile, ca a fonctionné comme ça je dirais une bonne min et puis a nouveau le blackout

Ca serait donc la pile  ?

g3n-h@ckm@n · Answer

essaie de faire ce que je te demande au lieu d'inventer

libsou · Answer

lol oui, j'ai fais ce que tu as dis et rien toujours l'écran noir, je suis resté avec le bouton power enclenché et j'ai redémarré normalement et rien

j'ai recommencé, mais sans remettre la pile et là j'ai les infos constructeur  avec press del ou f1

libsou · Answer

bonjour,

je viens de refaire encore une fois la manip
j'ai viré la pile  j'ai appuyé sur le bouton 5 minutes, j'ai remis la pile ( neuve  pour l'occasion ) j'ai redémarré normalement et toujours rien de rien, pas d'infos constructeur, ou autre, le bip, le ventillo ca oui par contre

:-<

g3n-h@ckm@n · Answer

oulah... t'es dans le caca !!!

bref..

absolument rien de rien ne s'affiche à l'écran ?????????

libsou · Answer

rien de rien, j'ai eu de l'espoir la fois ou j'ai redémarré sans  pile, j'ai eu des infos à l'écran ici avec le nouvelle rien de rien, peut-être que la carte graphique est en cause?
ici j'ai viré la pilé et débranché l'ordi, je vais retenter ce soir ou demain

merci encore pour ton support et ta patience

ici j'ai trouvé sur  le forum un topic sur "l'écran noir "

https://forums.commentcamarche.net/forum/affich-1263515-le-fameux-ecran-noir-au-demarrage

on parle d'un clearmos ?


mon pc victime de la prophétie maya, le pauvre :(

g3n-h@ckm@n · Answer

le seul ... ^^

mais...il tourne avec une pile neuve o pas ?

libsou · Answer

salut,

je suis levé de bonheur ce matin ( les gamins :-)  )

j'ai laissé le pc débranché sans pile toute la nuit et ça repart :-)

il a repris le pre scan là ou il s'était arrêté, mais je ne sais pas si ca c'est déroulé correctement....

par contre j'ai au démarrage un message  floppy disk fail (40) ??

j'ai un lecteur de disquette installé maintenant sur mon pc, mais je n'ai pas l'hardware en fait ( j'ai l'icone dans mon poste de travail ) et l'ensemble de mes icones ( ou presque ) sur le bureau ou ailleurs sont en .ink à présent ou .exe etc etc...

voici le lien du rapport prescan
 https://www.cjoint.com/?0LximQKHS4G

une copie de mon écran https://www.cjoint.com/?3Lxir2EKvGH ( avec les gamins ^^ )
certaines icones s'affichent a présent comme exécutable dans google chrome, sinon quand je clique sur quelque chose  ( même dans le menu démarrer ), j'ai le message windows ne peut pas ouvrir ce fichier, sélectionner le programme approprié ou chercher sur le web :-/

bon le pc est pas mort c'est déjà ça !

libsou · Answer

bon je suis retourné dans le bios j'ai désactivé le floppy et j'ai redémarré sans échec, j'ai pris un point de restauration du 19 et tout semble fonctionner.

du coup est ce que je fais tourner usbfix ou prescan encore une fois ?

g3n-h@ckm@n · Answer

t'as restauré toutes les infections avec

libsou · Answer

ok 

donc maintenant dans l'ordre je fais ubsfix + prescan ou juste prescan ou autre ???

g3n-h@ckm@n · Answer

non refais un complet avec malwarebytes plutot

libsou · Answer

Voilà qui est fait, effectivement les infections  étaient de retour : 


Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.23.02

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Seb & Isa :: SEB-773793D046F [administrateur]

Protection: Désactivé

23/12/2012 10:41:36
mbam-log-2012-12-23 (10-41-36).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 254116
Temps écoulé: 27 minute(s), 9 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A26F07F-0D60-4835-91CF-1E1766A0EC56} (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545D8C8-F53C-4E2F-8FA0-D248EF4A6E61} (Rogue.Installer) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\2SPI9KEA4C (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

refais pre_scan , retelecharge-le avant (supprime l ancien)

libsou · Answer

salut,

faire et refaire c'est toujours travailler :)

alors :
j'ai retéléchargé l'exe de prescan, j'ai mis sur le bureau, l'ai lancé
il a bossé un moment ( c'est assez long je trouve), puis j'ai eu un message comme quoi il devrai arrêter une disque virtuel ou un truc du genre defrogger et redémarrer le pc, ok
il redémarre, je constate que mes icones en arrière plan sont a nouveau visible, mais ne sont plus que des fichiers .exe comme ce matin, prescan tourne encore et se bloque a je dirais 75 %

j'ai entendu, un moment et rien, bien bloqué

je me dis je vais le relancer en mode sans echec, je redémarre le pc à nouveau et là le retour de l'écran noir, sans les infos du constructeur etc etc.


Du coup j'ai  à nouveau retirer la pile et débrancher le pc....


j'espère que ca va refonctionner
si il redémarre :
1  un petit coup de malwarebites
2 un petit pre scan en mode sans échec et puis on verra 


Ou tu as une autre idée?

g3n-h@ckm@n · Answer

la pile est neuve....mouais.....

libsou · Answer

oui je l'ai acheté hier pour l'occasion :-)

g3n-h@ckm@n · Answer

attends tu parles de la pile ou de la batterie .?????

libsou · Answer

la pile ?
la petite pile plate sur la carte mère.

pourquoi je dois débrancher un autre truc ?

g3n-h@ckm@n · Answer

c'est combien le moement que tu as attendu ?

libsou · Answer

quand le prescan est resté bloqué je présume, je dirais 20 bonne minutes et il ne se passait plus rien du tout ?

g3n-h@ckm@n · Answer

ok en mode sans echec dans ce cas

libsou · Answer

ok je vais voir si il redémarre en le laissant débranché sans pile pendant un moment. J'ai essayé il y a une heure et rien :-<

bon allez je reste positif :-)

merci pour ton aide

question comme ça : c'est ton métier l'informatique ou une passion, c'est toi qui a créé préscan c'est ça ? 

sinon, sur mon pc portable j'ai également spyboot et avira ?
je devrais remplacer ces logiciels ? par quoi ?

g3n-h@ckm@n · Answer

spybot poubelle :)

oui c'est moi qui ai créé Pre_scan dans les grandes lignes :) ( j'ai eu l'aides de quelques personnes pour apporter des corrections au programme....ca a permis de retirer 30 000 lignes inutiles ^^ )

y'a 5 ans je savais pas me servir d'un pc ^^ j'ai tout appris sur le tas ^^

libsou · Answer

Ah oui balèze :-)

comme quoi avec un peu de bonne volonté on arrive à tout 
bravo

ah au fait ma carte mère c'est une amd k9vgm
j'ai télécharger le manuel pour faire un cmos
et toujours rien.....

j'ai virer le jumper en position 2-3 et puis position initiale et rien n'y fait
curieux.
je finis par me demander si le soucis ne viendrait pas de la carte graphique ou de l'écran ?
On verra demain.

Après si il ne marche plus tant pis, il va sur ses 8 ans et m'a bien servi...

bon si je ne te croise plus demain, je te souhaite un bon réveillon et un très joyeux Noël:-)

g3n-h@ckm@n · Answer

enlève la prise de courant , retire la pile de la carte mère pendant 10 mn et remets là puis tente un redemarrage

libsou · Answer

salut,

j'ai fait ça aussi, rien, j'ai laissé le pc débranché sans pile toute la nuit et rien...
au final je me demande si c'est pas bêtement.. l'écran

j'ai branché mon pc portable dessus, il le détecte mais rien ne s'affiche, enfin
je n'ai jamais rien fait la manoeuvre, mais il détecte tu sélectionnes l'écran comme affiche principal et ca marche et là rien....

je vais essayer d'avoir un écran à prêter pour faire un test avant de continuer à m'acharner à essayer de faire de cmos

j'aurais du commencer par tester  ça 

pppffffff
chiant tout ça

libsou · Answer

Joyeux Noel mon cher :-)


c'était bien ça 

bon me voilà avec un nouvel écran.

j'ai du faire une restauration comme la dernière fois.

j'ai fait un coup de malewarebytes  

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.24.05

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Seb & Isa :: SEB-773793D046F [administrateur]

Protection: Désactivé

24/12/2012 15:50:23
mbam-log-2012-12-24 (15-50-23).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 254193
Temps écoulé: 17 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A26F07F-0D60-4835-91CF-1E1766A0EC56} (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545D8C8-F53C-4E2F-8FA0-D248EF4A6E61} (Rogue.Installer) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\2SPI9KEA4C (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

Joyeux noël 

ben si t'as restaur t'as restauré les virus avec ^^^^ 

=== 

donc : 

Télécharge DelFix (de Xplode) sur ton bureau. 

Lance le, choisis suppression 

Patiente pendant le scan jusqu'à l'ouverture du rapport. 

Copie/Colle le contenu du rapport dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\DelFix.txt 

tu peux le désinstaller. 



et refais ca : https://forums.commentcamarche.net/forum/affich-26708314-trouver-et-detruire-un-trojan?full#8  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

libsou · Answer

voici

# DelFix v9.2 - Rapport créé le 25/12/2012 à 11:54:43
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Seb & Isa - SEB-773793D046F
# Exécuté depuis : C:\Documents and Settings\Seb & Isa\Bureau\delfix.exe
# Option [Recherche]


~~~~~~ Dossier(s) ~~~~~~

Présent : C:\USBFix
Présent : C:\pre_scan
Présent : C:\Pre_Scan

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\AdwCleaner[S1].txt
Présent : C:\Pre_Scan.txt
Présent : C:\Pre_Scan_22_12_2012_11_43_01.txt
Présent : C:\UsbFix.txt
Présent : C:\UsbFix_Upload_Me_SEB-773793D046F.zip
Présent : C:\Documents and Settings\Seb & Isa\Bureau\adwcleaner.exe
Présent : C:\Documents and Settings\Seb & Isa\Mes documents\Downloads\winlogon (1).exe

~~~~~~ Registre ~~~~~~

Clé Présente : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~


*************************

DelFix[R1].txt - [910 octets] - [25/12/2012 11:54:43]

########## EOF - C:\DelFix[R1].txt - [1033 octets] ##########

g3n-h@ckm@n · Answer

j'avais dit suppression tu ne lis pas

libsou · Answer

si j'ai fait mais je suis trompé de rapport quand j'ai fait mon collé pardon,

voilà

# DelFix v9.2 - Rapport créé le 25/12/2012 à 11:55:01
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Seb & Isa - SEB-773793D046F
# Exécuté depuis : C:\Documents and Settings\Seb & Isa\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Pre_Scan_22_12_2012_11_43_01.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_SEB-773793D046F.zip
Supprimé : C:\Documents and Settings\Seb & Isa\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\Seb & Isa\Mes documents\Downloads\winlogon (1).exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1030 octets] - [25/12/2012 11:54:43]
DelFix[S1].txt - [973 octets] - [25/12/2012 11:55:01]

########## EOF - C:\DelFix[S1].txt - [1096 octets] ##########

g3n-h@ckm@n · Answer

c'est ok :)  la suite
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

libsou · Answer

ben prescan a encore l'air bloqué

La fenêtre faire un don est apparue sans que le processus ne soit achevé
( le don est fait par contre :) )

bon je fais quoi, j'ai fait une copie d'écran

https://picasaweb.google.com/lh/photo/1AVpqqu-x6-n-8oEVBZftj8Lb5ltGR1nQjegSBJKhf0?feat=directlink

libsou · Answer

voilà voilà Maestro

https://www.cjoint.com/?BLztllRjtgb

libsou · Answer

ben avec la restauration que j'ai fais hier, il me semblait que je ne l'avais plus, il n'était plus sur  mon bureau du coup, je l'ai retéléchargé a partir de ton lien ?

j'ai refait ca :

et refais ca : https://forums.commentcamarche.net/forum/affich-26708314-trouver-et-detruire-un-trojan?full#8 

:-)

g3n-h@ckm@n · Answer

ce qui est bizarre c'est que j'arrete pas de le mettre à jour depuis ce matin donc il devrait etre daté du 25/12 bref refais un rapport de diag aussi avec l outil

libsou · Answer

voilà c'est relativement rapide

par contre pour le scan que j'ai fais, j'ai oublié de précisé que je l'ai fait tourné
en mode sans echec

voici le diag

https://www.cjoint.com/?BLzutBtF5q8

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

libsou · Answer

# AdwCleaner v2.103 - Rapport créé le 26/12/2012 à 08:31:22
# Mis à jour le 25/12/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Seb & Isa - SEB-773793D046F
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Seb & Isa\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\pc performer manager

***** [Registre] *****

Clé Supprimée : HKCU\Software\5ae8bdcb76eef10
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063DB1-4EC0-403E-8DD8-394C54984B2C}
Clé Supprimée : HKLM\SOFTWARE\5ae8bdcb76eef10
Clé Supprimée : HKLM\SOFTWARE\Classes\.38FB19C840393A66509EACCB83EC18D66A04F4E7&sver=2&expire=1231551367&key=yt4&ipbits=0
Clé Supprimée : HKLM\SOFTWARE\Classes\38FB19C840393A66509EACCB83EC18D66A04F4E7&sver=2&expire=1231551367&key=yt4&ipbits=0_auto_file
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE063DB1-4EC0-403E-8DD8-394C54984B2C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\693218053459EBF14C6505EA1172F17672B50DD1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe_e7f691c6f2bf7b70c25ea19f3d73b6e

***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.2180

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Fichier : C:\Documents and Settings\Seb & Isa\Application Data\Mozilla\Firefox\Profiles\3p4vlgc2.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v23.0.1271.97

Fichier : C:\Documents and Settings\Seb & Isa\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2784 octets] - [26/12/2012 08:31:22]

########## EOF - C:\AdwCleaner[S1].txt - [2844 octets] ##########

g3n-h@ckm@n · Answer

re

ok refais un diag voir s'il y a des restes

libsou · Answer

bonjour 

zoupla et voilà

https://www.cjoint.com/?BLAlPu1tT2h

:-)

ca va le lendemain de fêtes est pas trop dur ?

g3n-h@ckm@n · Answer

oué ca va :)

====

installe le service pack 3

libsou · Answer

installe le service pack 3 ???


c'est quoi ça ?

g3n-h@ckm@n · Answer

http://download.microsoft.com/download/c/3/e/c3ea9fa6-d8e6-4832-8795-06dd27be9bc9/WindowsXP-KB936929-SP3-x86-FRA.exe

libsou · Answer

Voilà qui est fait :-)

g3n-h@ckm@n · Answer

pas bien d'avoir enlevé deux lignes dans le rapport !!!

=====

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Program Files\Saxo\Saxo.exe
C:\WINDOWS\system32
etwbix32.dll    
C:\WINDOWS\system32\vwccdch.exe 
C:\WINDOWS\system32\MYDLL.dll 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

=======

desinstalle Unity Web Player 
desinstalle Adobe Reader 8
desinstalle Webplayer setup version 1.0 

========

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BLAoST2wr8P

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

libsou · Answer

?

j'ai rien enlevé du tout moi ?

bon je fais ce que tu dis.

:-)

libsou · Answer

https://www.virustotal.com/gui/file/f34277e9deca18b4320c4fb452595a9238213cdda0644d56f49ea07da0071c80 

netwbix32 

https://www.virustotal.com/gui/file/fcbecb572b7b17f6241813f47eff0bd2400ede0f0d71a2e977e423c4be1f2066 

vwccdch ( semble être une merde ) 
https://www.virustotal.com/gui/file/28f0939d3382a37cd1476385eb78362cebb69d9c49ef7ccea586c08885a9828a 

mydll 

https://www.virustotal.com/gui/file/01d8f35d3804c50abd2d6ba154fc73c1d34b0d13c5243c5bef8e45e55de52427

Ajouter un commentaire - Lien (#68)

libsou · Answer

la suppression des programmes est faites aussi.

( question histoire de mourir moi con, le script va tuer une série de fichiers, c'est quoi ces machins en gros)

libsou · Answer

j'ai fait la procédure pour prescan, mais il bloque au moment de  fermeture
" shutting down process " ou un truc du genre, j'ai entendu 30 min et rien ?

g3n-h@ckm@n · Answer

supprime le premier et le troisieme

======

recommence le script en mode sans echec

libsou · Answer

salut,


me revoilà sur le portable

ca a réussi en mode normal, par contre  maintenant je n'ai plus de connexion
internet, et rien ne se passe quand je clique sur l'icone du bureau.
Je suis relié avec un cable ethernet sur une box, donc pas de soucis tout est bien branché et le pc est très très lent au démarrage ?

voici le rapport

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1223 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Seb & Isa : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 17:25:20

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(1460) -- spoolsv.exe
(1492) -- sched.exe
(1796) -- explorer.exe
(1880) -- rundll32.exe
(1900) -- avguard.exe
(1912) -- CDANTSRV.EXE
(1952) -- RTHDCPL.EXE
(128) -- pptd40nt.exe
(228) -- DSLAGENT.EXE
(212) -- avgnt.exe
(272) -- HOSTS_Anti-Adware_main.exe
(436) -- ctfmon.exe
(520) -- BrMfcWnd.exe
(976) -- mbamscheduler.exe
(1288) -- SeaPort.exe
(3812) -- alg.exe
(2980) -- wscntfy.exe

¤¤¤¤¤¤¤¤¤¤ | Netsvcs

SSHNAS : supprimé
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:nwiz
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:SSBkgdUpdate
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Alcmtr     
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:MSConfig
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder 
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Saxo 
Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F} 
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{47EC23F0-4D61-41B2-986E-E4B5C964C26B} 
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A5EBDA4-E47F-46D7-9688-B722441B0739}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ce10bf86-da68-441e-91fa-38336363e3cd}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} 
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} 
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D8089245-3211-40F6-819B-9E5E92CD61A2}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} 
Key Deleted : HKU\S-1-5-21-117609710-583907252-839522115-1003\Software\CasinonetInstaller     
Key Deleted : HKU\S-1-5-21-117609710-583907252-839522115-1003\Software\casinoonnet   
Key Deleted : HKLM\Software\Roozz.com 
Key Deleted : HKLM\Software\Microsoft\ 'g;{00  
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:1900:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:2869:TCP 
Key Deleted : HKCR\Installer\Products\4EA42A62D9304AC4784BF238120651FF

¤

C:\Program Files\PC Performer : Not Found !
C:\PROGRA~1\SEARCH~2 : Not Found !
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Application Data\PriceGong     
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy     
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\All Users\Application Data\{BFB5F154-9212-46F3-B547-AC6106030A54}   
Folder Moved to quarantine successfully : |SHD| - C:\Documents and Settings\All Users\Application Data\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}     
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\AskToolbar    
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\Conduit 
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\ConduitEngine 
File Moved to quarantine successfully :  |A| - C:\Documents and Settings\compte invité\Local Settings\Application Data\d3d9caps.tmp 
Folder Moved to quarantine successfully : |D| - C:\Program Files\Spybot - Search & Destroy     
Folder Moved to quarantine successfully : |D| - C:\Program Files\Webplayer setup     

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000003c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected




¤


End : 17:25:40

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

à priori ca devrait etre bon...on peut faire le menage final ?

g3n-h@ckm@n · Answer

je vois pas où tu disais que tu n'avais plus de connection internet dans ton premier message .....

essaie de reinitialiser par defaut  dans le panneau de config  ,tes options internet  ,
 dans l'onglet avancé

g3n-h@ckm@n · Answer

quand meme bizarre je n'ai touché à rien en ce qui concerne la connection dans le script.....

redemarre la machine voir ?

libsou · Answer

marche pô :'=(

ce pc va me rendre fou !!!!

g3n-h@ckm@n · Answer

j'avais plus de connection  

donne un max de precisions 

messages , d'erreur , etc..... 
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

libsou · Answer

non rien pas de message, l'icone de connection ( les 2 moniteurs ) n'apparaît plus au démarrage en bas de l'écran  à droite ( au niveau date et heure)

il est très très lent à démarrer a partir du moment ou je clique sur mon compte utilisateur, jusqu'à la fin du démarrage ( plusieurs minutes), ca ne l'était pas avant de lancer le script....
je me suis dit que dans le pire des cas je pourrais encore restaurer ' j' ai voulu voir qu'elle était le  point dispo le plus proche sans faire la restauration et j'ai ce message "  restauration du systeme ne peut pas protéger votre ordinateur, faites redémarrer votre ordinateur puis relancer restauration du système" "

ca aussi c'est nouveau et j'ai déjà redémarrer plusieurs fois, même en mode sans échec et j'ai toujours le même message ?? Curieux aussi ??

g3n-h@ckm@n · Answer

mmmm on va revenir juste avant le script alors

lance c:\Pre_scan\Save\Script\Erdnt.exe et restaure

g3n-h@ckm@n · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape SSHNAS

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

libsou · Answer

Voilà

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:14:23 le 26/12/2012
4. 
5. Valeur(s) recherchée(s):
6. SSHNAS
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. 
20. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
21. "netsvcs"="6to4
22. AppMgmt
23. AudioSrv
24. Browser
25. CryptSvc
26. DMServer
27. DHCP
28. ERSvc
29. EventSystem
30. FastUserSwitchingCompatibility
31. HidServ
32. Ias
33. Iprip
34. Irmon
35. LanmanServer
36. LanmanWorkstation
37. Messenger
38. Netman
39. Nla
40. Ntmssvc
41. NWCWorkstation
42. Nwsapagent
43. Rasauto
44. Rasman
45. Remoteaccess
46. Schedule
47. Seclogon
48. SENS
49. Sharedaccess
50. SRService
51. Tapisrv
52. Themes
53. TrkWks
54. W32Time
55. WZCSVC
56. Wmi
57. WmdmPmSp
58. winmgmt
59. wscsvc
60. xmlprov
61. BITS
62. wuauserv
63. ShellHWDetection
64. helpsvc
65. WmdmPmSN
66. SSHNAS
67. napagent
68. hkmsvc" (REG_MULTI_SZ)
69. 
70. =========================
71. 
72. Fin à: 21:23:41 le 26/12/2012
73. 575531 Éléments analysés
74. 
75. =========================
76. E.O.F

g3n-h@ckm@n · Answer

Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to delete:
SSHNAS

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

libsou · Answer

Voilà, c'est bon je pense non ?

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SSHNAS" not found!
Deletion of driver "SSHNAS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

g3n-h@ckm@n · Answer

ok pas de driver caché....

va falloir le faire à la main......

touche windows + R

tape :

Regedit
 
deplie avec les petits "+" cette arborescence :

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\svchost

clic gauche sur svchost

à droite double clique sur la valeur "Netsvcs"

une liste de noms va s'afficher dans une fenetre carrée 

efface SSHNAS

et supprime la ligne blanche que ca va laisser ensuite clique sur OK

ferme le registre

redemarre

refais Seaf.exe comme demandé ici :

https://forums.commentcamarche.net/forum/affich-26708314-trouver-et-detruire-un-trojan?page=4#86

libsou · Answer

voilà


1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 22:46:47 le 26/12/2012
4. 
5. Valeur(s) recherchée(s):
6. SSHNAS
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. Aucun élément dans le registre trouvé
20. 
21. =========================
22. 
23. Fin à: 23:32:09 le 26/12/2012
24. 576035 Éléments analysés
25. 
26. =========================
27. E.O.F

g3n-h@ckm@n · Answer

bien tu as bien redemarré le pc avant de refaire la recherche avec SEAF ?

libsou · Answer

salut Mister Ed' :-)

je suis au boulot aujourd'hui, j'ai tellement démarré, re démarré mon pc hier que je ne saurais être catégorique, je refairai la manip' ce soir ( je vais pas demander à me femme,elle en a rien a cirer du pc donc... )

en congé ou au boulot aujourd'hui ?

bonne journée !

Seb

libsou · Answer

waaaalaaaaa !!!!

:-)

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 18:26:09 le 27/12/2012
4. 
5. Valeur(s) recherchée(s):
6. SSHNAS
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. Aucun élément dans le registre trouvé
20. 
21. =========================
22. 
23. Fin à: 18:34:16 le 27/12/2012
24. 584598 Éléments analysés
25. 
26. =========================
27. E.O.F

g3n-h@ckm@n · Answer

maginifque ^^

libsou · Answer

c'est terminé ??

je n'ose y croire lol

une semaine que tu es la dessus avec moi ...

T'auras un deuxième don le mois prochain tu l'auras pas volé ( dur dur ce mois ci d'être plus généreux)

sinon pour être peinard pour l'avenir 
malewarebytes

+ un petit nettoyage avec la procedure dossier lent....
+ autres conseil du pro  ^^ ?

g3n-h@ckm@n · Answer

nan on fait le menage ^^

https://gen-hackman.kanak.fr/

libsou · Answer

yop 

mise a jour jva, adobe ok

rapport delfix ok

# DelFix v9.2 - Rapport créé le 27/12/2012 à 23:50:13
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Seb & Isa - SEB-773793D046F
# Exécuté depuis : C:\Documents and Settings\Seb & Isa\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Avenger
Supprimé : C:\pre_scan
Supprimé : C:\Program Files\SEAF

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\avenger.txt
Supprimé : C:\Pre_Diag_25_12_2012_19_33_30.txt
Supprimé : C:\Pre_Diag_26_12_2012_10_35_29.txt
Supprimé : C:\Pre_Scan_25_12_2012_15_22_25.txt
Supprimé : C:\SeafLog.txt
Supprimé : C:\Documents and Settings\Seb & Isa\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\Seb & Isa\Bureau\avenger.exe
Supprimé : C:\Documents and Settings\Seb & Isa\Bureau\Pre_script.txt
Supprimé : C:\Documents and Settings\Seb & Isa\Bureau\seaf.exe
Supprimé : C:\Documents and Settings\Seb & Isa\Bureau\winlogon.exe
Supprimé : C:\Documents and Settings\Seb & Isa\Mes documents\Downloads\avenger.zip

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1030 octets] - [25/12/2012 11:54:43]
DelFix[S1].txt - [1093 octets] - [25/12/2012 11:55:01]
DelFix[S2].txt - [713 octets] - [25/12/2012 11:55:24]
DelFix[S3].txt - [768 octets] - [25/12/2012 15:13:54]
DelFix[S4].txt - [1604 octets] - [27/12/2012 23:50:13]

########## EOF - C:\DelFix[S4].txt - [1728 octets] ##########

g3n-h@ckm@n · Answer

ben si t'as tout fait oui ^^

libsou · Answer

wouhouhhh !!!

Merci  pour tout en tout cas, on sent la différence à l'usage.
Plus de ralentissements du tout, c'est génial !

A l'avenir 
malwarebyte + cccleaner + une petite vérification des disques
comme entretien c'est bon?


Merci encore en tout cas, je vais r

j'ai sauvegardé ton site c'est une vrai mine d'or !!

passe un bon réveillon et une très bonne année 2013


ps : finalement c'est mon écran qui n'a pas survécu à l'apocalypse, paix
à son tube !

g3n-h@ckm@n · Answer

tube cathodique ? non ne me dis pas ca !!!!!!

Trouver et détruire un " trojan" ???

88 réponses

Votre réponse

Discussions similaires

Newsletters