Trouver et détruire un " trojan" ???
libsou
Messages postés
66
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour à tous et à toutes,
j'ai trouvé quelques infos sur le forum... mais c'est pas simple pour moi.
Visiblement mon compte hotmail a été " piraté " par un trojan qui envoi des e-mails à mes contacts.
Mon compte a été bloqué ( je l'ai récupéré), MSN a placé une série de message douteux dans le dossier supprimé genre Making Real Money Online has
http://www.... ( lien pourri donc )
j'ai changé mon de passe pour mon mail.
Comment analyser correctement mon pc et être certains que j'ai bien éliminé la menace ?
j'utilise spyboot et anti-vir est-ce suffisant ?
d'avance merci.
bonne journée
j'ai trouvé quelques infos sur le forum... mais c'est pas simple pour moi.
Visiblement mon compte hotmail a été " piraté " par un trojan qui envoi des e-mails à mes contacts.
Mon compte a été bloqué ( je l'ai récupéré), MSN a placé une série de message douteux dans le dossier supprimé genre Making Real Money Online has
http://www.... ( lien pourri donc )
j'ai changé mon de passe pour mon mail.
Comment analyser correctement mon pc et être certains que j'ai bien éliminé la menace ?
j'utilise spyboot et anti-vir est-ce suffisant ?
d'avance merci.
bonne journée
A voir également:
- Trouver et détruire un " trojan" ???
- Trouver adresse mac - Guide
- Ou trouver l'adresse ip - Guide
- Trouver un film sans le titre - Télécharger - Divers TV & Vidéo
- Ou trouver la corbeille - Guide
- Comment trouver le mot de passe wifi sur son téléphone - Guide
88 réponses
https://www.virustotal.com/gui/file/f34277e9deca18b4320c4fb452595a9238213cdda0644d56f49ea07da0071c80
netwbix32
https://www.virustotal.com/gui/file/fcbecb572b7b17f6241813f47eff0bd2400ede0f0d71a2e977e423c4be1f2066
vwccdch ( semble être une merde )
https://www.virustotal.com/gui/file/28f0939d3382a37cd1476385eb78362cebb69d9c49ef7ccea586c08885a9828a
mydll
https://www.virustotal.com/gui/file/01d8f35d3804c50abd2d6ba154fc73c1d34b0d13c5243c5bef8e45e55de52427
Ajouter un commentaire - Lien (#68)
netwbix32
https://www.virustotal.com/gui/file/fcbecb572b7b17f6241813f47eff0bd2400ede0f0d71a2e977e423c4be1f2066
vwccdch ( semble être une merde )
https://www.virustotal.com/gui/file/28f0939d3382a37cd1476385eb78362cebb69d9c49ef7ccea586c08885a9828a
mydll
https://www.virustotal.com/gui/file/01d8f35d3804c50abd2d6ba154fc73c1d34b0d13c5243c5bef8e45e55de52427
Ajouter un commentaire - Lien (#68)
la suppression des programmes est faites aussi.
( question histoire de mourir moi con, le script va tuer une série de fichiers, c'est quoi ces machins en gros)
( question histoire de mourir moi con, le script va tuer une série de fichiers, c'est quoi ces machins en gros)
j'ai fait la procédure pour prescan, mais il bloque au moment de fermeture
" shutting down process " ou un truc du genre, j'ai entendu 30 min et rien ?
" shutting down process " ou un truc du genre, j'ai entendu 30 min et rien ?
j'ai un rapport qui a été généré ( partiel j'imagine)
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1223 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Seb & Isa : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
New restorepoint created
Script : 16:44:24
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1488) -- spoolsv.exe
(1520) -- sched.exe
(1616) -- avguard.exe
(1628) -- CDANTSRV.EXE
(1924) -- mbamscheduler.exe
(1984) -- mbamservice.exe
(2020) -- SeaPort.exe
(648) -- alg.exe
(2036) -- mbamgui.exe
(152) -- explorer.exe
(2880) -- rundll32.exe
(3448) -- RTHDCPL.EXE
(448) -- pptd40nt.exe
(620) -- gsicon.exe
(1272) -- DSLAGENT.EXE
(796) -- avgnt.exe
(2480) -- HOSTS_Anti-Adware_main.exe
(3004) -- ctfmon.exe
(3796) -- BrMfcWnd.exe
(268) -- msiexec.exe
(868) -- wscntfy.exe
¤¤¤¤¤¤¤¤¤¤ | Netsvcs
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1223 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Seb & Isa : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
New restorepoint created
Script : 16:44:24
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1488) -- spoolsv.exe
(1520) -- sched.exe
(1616) -- avguard.exe
(1628) -- CDANTSRV.EXE
(1924) -- mbamscheduler.exe
(1984) -- mbamservice.exe
(2020) -- SeaPort.exe
(648) -- alg.exe
(2036) -- mbamgui.exe
(152) -- explorer.exe
(2880) -- rundll32.exe
(3448) -- RTHDCPL.EXE
(448) -- pptd40nt.exe
(620) -- gsicon.exe
(1272) -- DSLAGENT.EXE
(796) -- avgnt.exe
(2480) -- HOSTS_Anti-Adware_main.exe
(3004) -- ctfmon.exe
(3796) -- BrMfcWnd.exe
(268) -- msiexec.exe
(868) -- wscntfy.exe
¤¤¤¤¤¤¤¤¤¤ | Netsvcs
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut,
me revoilà sur le portable
ca a réussi en mode normal, par contre maintenant je n'ai plus de connexion
internet, et rien ne se passe quand je clique sur l'icone du bureau.
Je suis relié avec un cable ethernet sur une box, donc pas de soucis tout est bien branché et le pc est très très lent au démarrage ?
voici le rapport
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1223 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Seb & Isa : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
New restorepoint created
Script : 17:25:20
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1460) -- spoolsv.exe
(1492) -- sched.exe
(1796) -- explorer.exe
(1880) -- rundll32.exe
(1900) -- avguard.exe
(1912) -- CDANTSRV.EXE
(1952) -- RTHDCPL.EXE
(128) -- pptd40nt.exe
(228) -- DSLAGENT.EXE
(212) -- avgnt.exe
(272) -- HOSTS_Anti-Adware_main.exe
(436) -- ctfmon.exe
(520) -- BrMfcWnd.exe
(976) -- mbamscheduler.exe
(1288) -- SeaPort.exe
(3812) -- alg.exe
(2980) -- wscntfy.exe
¤¤¤¤¤¤¤¤¤¤ | Netsvcs
SSHNAS : supprimé
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:nwiz
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:SSBkgdUpdate
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Alcmtr
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:MSConfig
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Saxo
Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{47EC23F0-4D61-41B2-986E-E4B5C964C26B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A5EBDA4-E47F-46D7-9688-B722441B0739}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ce10bf86-da68-441e-91fa-38336363e3cd}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D8089245-3211-40F6-819B-9E5E92CD61A2}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}
Key Deleted : HKU\S-1-5-21-117609710-583907252-839522115-1003\Software\CasinonetInstaller
Key Deleted : HKU\S-1-5-21-117609710-583907252-839522115-1003\Software\casinoonnet
Key Deleted : HKLM\Software\Roozz.com
Key Deleted : HKLM\Software\Microsoft\ 'g;{00
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:1900:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:2869:TCP
Key Deleted : HKCR\Installer\Products\4EA42A62D9304AC4784BF238120651FF
¤
C:\Program Files\PC Performer : Not Found !
C:\PROGRA~1\SEARCH~2 : Not Found !
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Application Data\PriceGong
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\All Users\Application Data\{BFB5F154-9212-46F3-B547-AC6106030A54}
Folder Moved to quarantine successfully : |SHD| - C:\Documents and Settings\All Users\Application Data\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\AskToolbar
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\Conduit
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\ConduitEngine
File Moved to quarantine successfully : |A| - C:\Documents and Settings\compte invité\Local Settings\Application Data\d3d9caps.tmp
Folder Moved to quarantine successfully : |D| - C:\Program Files\Spybot - Search & Destroy
Folder Moved to quarantine successfully : |D| - C:\Program Files\Webplayer setup
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
End : 17:25:40
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
me revoilà sur le portable
ca a réussi en mode normal, par contre maintenant je n'ai plus de connexion
internet, et rien ne se passe quand je clique sur l'icone du bureau.
Je suis relié avec un cable ethernet sur une box, donc pas de soucis tout est bien branché et le pc est très très lent au démarrage ?
voici le rapport
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1223 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Seb & Isa : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
New restorepoint created
Script : 17:25:20
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1460) -- spoolsv.exe
(1492) -- sched.exe
(1796) -- explorer.exe
(1880) -- rundll32.exe
(1900) -- avguard.exe
(1912) -- CDANTSRV.EXE
(1952) -- RTHDCPL.EXE
(128) -- pptd40nt.exe
(228) -- DSLAGENT.EXE
(212) -- avgnt.exe
(272) -- HOSTS_Anti-Adware_main.exe
(436) -- ctfmon.exe
(520) -- BrMfcWnd.exe
(976) -- mbamscheduler.exe
(1288) -- SeaPort.exe
(3812) -- alg.exe
(2980) -- wscntfy.exe
¤¤¤¤¤¤¤¤¤¤ | Netsvcs
SSHNAS : supprimé
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:nwiz
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:SSBkgdUpdate
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Alcmtr
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:MSConfig
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Saxo
Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{47EC23F0-4D61-41B2-986E-E4B5C964C26B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A5EBDA4-E47F-46D7-9688-B722441B0739}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ce10bf86-da68-441e-91fa-38336363e3cd}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D8089245-3211-40F6-819B-9E5E92CD61A2}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}
Key Deleted : HKU\S-1-5-21-117609710-583907252-839522115-1003\Software\CasinonetInstaller
Key Deleted : HKU\S-1-5-21-117609710-583907252-839522115-1003\Software\casinoonnet
Key Deleted : HKLM\Software\Roozz.com
Key Deleted : HKLM\Software\Microsoft\ 'g;{00
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:1900:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:2869:TCP
Key Deleted : HKCR\Installer\Products\4EA42A62D9304AC4784BF238120651FF
¤
C:\Program Files\PC Performer : Not Found !
C:\PROGRA~1\SEARCH~2 : Not Found !
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Application Data\PriceGong
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\All Users\Application Data\{BFB5F154-9212-46F3-B547-AC6106030A54}
Folder Moved to quarantine successfully : |SHD| - C:\Documents and Settings\All Users\Application Data\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\AskToolbar
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\Conduit
Folder Moved to quarantine successfully : |D| - C:\Documents and Settings\compte invité\Local Settings\Application Data\ConduitEngine
File Moved to quarantine successfully : |A| - C:\Documents and Settings\compte invité\Local Settings\Application Data\d3d9caps.tmp
Folder Moved to quarantine successfully : |D| - C:\Program Files\Spybot - Search & Destroy
Folder Moved to quarantine successfully : |D| - C:\Program Files\Webplayer setup
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
End : 17:25:40
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
non non dans mon début de message je te disais que j'avais plus de connexion internet et en plus il est super lent au démarrage a présent , curieux? je me suis connecté avec mon portable
?? comprend pas. Je viens de regarder si je pouvais restaurer au cas ou ?
quand je vais dans outils système pour accéder au service de restauration j'ai ce message "
restauration du systeme ne peut pas protéger votre ordinateur, faites redémarrer votre ordinateur puis relancer restauration du système"
j'ai beau redémarrer j'ai toujours le même message
?
je fais quoi
?
?? comprend pas. Je viens de regarder si je pouvais restaurer au cas ou ?
quand je vais dans outils système pour accéder au service de restauration j'ai ce message "
restauration du systeme ne peut pas protéger votre ordinateur, faites redémarrer votre ordinateur puis relancer restauration du système"
j'ai beau redémarrer j'ai toujours le même message
?
je fais quoi
?
je vois pas où tu disais que tu n'avais plus de connection internet dans ton premier message .....
essaie de reinitialiser par defaut dans le panneau de config ,tes options internet ,
dans l'onglet avancé
essaie de reinitialiser par defaut dans le panneau de config ,tes options internet ,
dans l'onglet avancé
quand meme bizarre je n'ai touché à rien en ce qui concerne la connection dans le script.....
redemarre la machine voir ?
redemarre la machine voir ?
j'avais plus de connection
donne un max de precisions
messages , d'erreur , etc.....
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
donne un max de precisions
messages , d'erreur , etc.....
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
non rien pas de message, l'icone de connection ( les 2 moniteurs ) n'apparaît plus au démarrage en bas de l'écran à droite ( au niveau date et heure)
il est très très lent à démarrer a partir du moment ou je clique sur mon compte utilisateur, jusqu'à la fin du démarrage ( plusieurs minutes), ca ne l'était pas avant de lancer le script....
je me suis dit que dans le pire des cas je pourrais encore restaurer ' j' ai voulu voir qu'elle était le point dispo le plus proche sans faire la restauration et j'ai ce message " restauration du systeme ne peut pas protéger votre ordinateur, faites redémarrer votre ordinateur puis relancer restauration du système" "
ca aussi c'est nouveau et j'ai déjà redémarrer plusieurs fois, même en mode sans échec et j'ai toujours le même message ?? Curieux aussi ??
il est très très lent à démarrer a partir du moment ou je clique sur mon compte utilisateur, jusqu'à la fin du démarrage ( plusieurs minutes), ca ne l'était pas avant de lancer le script....
je me suis dit que dans le pire des cas je pourrais encore restaurer ' j' ai voulu voir qu'elle était le point dispo le plus proche sans faire la restauration et j'ai ce message " restauration du systeme ne peut pas protéger votre ordinateur, faites redémarrer votre ordinateur puis relancer restauration du système" "
ca aussi c'est nouveau et j'ai déjà redémarrer plusieurs fois, même en mode sans échec et j'ai toujours le même message ?? Curieux aussi ??
Télécharge SEAF.exe de C_XX
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape SSHNAS
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape SSHNAS
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
Voilà
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 21:14:23 le 26/12/2012
4.
5. Valeur(s) recherchée(s):
6. SSHNAS
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
21. "netsvcs"="6to4
22. AppMgmt
23. AudioSrv
24. Browser
25. CryptSvc
26. DMServer
27. DHCP
28. ERSvc
29. EventSystem
30. FastUserSwitchingCompatibility
31. HidServ
32. Ias
33. Iprip
34. Irmon
35. LanmanServer
36. LanmanWorkstation
37. Messenger
38. Netman
39. Nla
40. Ntmssvc
41. NWCWorkstation
42. Nwsapagent
43. Rasauto
44. Rasman
45. Remoteaccess
46. Schedule
47. Seclogon
48. SENS
49. Sharedaccess
50. SRService
51. Tapisrv
52. Themes
53. TrkWks
54. W32Time
55. WZCSVC
56. Wmi
57. WmdmPmSp
58. winmgmt
59. wscsvc
60. xmlprov
61. BITS
62. wuauserv
63. ShellHWDetection
64. helpsvc
65. WmdmPmSN
66. SSHNAS
67. napagent
68. hkmsvc" (REG_MULTI_SZ)
69.
70. =========================
71.
72. Fin à: 21:23:41 le 26/12/2012
73. 575531 Éléments analysés
74.
75. =========================
76. E.O.F
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 21:14:23 le 26/12/2012
4.
5. Valeur(s) recherchée(s):
6. SSHNAS
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
21. "netsvcs"="6to4
22. AppMgmt
23. AudioSrv
24. Browser
25. CryptSvc
26. DMServer
27. DHCP
28. ERSvc
29. EventSystem
30. FastUserSwitchingCompatibility
31. HidServ
32. Ias
33. Iprip
34. Irmon
35. LanmanServer
36. LanmanWorkstation
37. Messenger
38. Netman
39. Nla
40. Ntmssvc
41. NWCWorkstation
42. Nwsapagent
43. Rasauto
44. Rasman
45. Remoteaccess
46. Schedule
47. Seclogon
48. SENS
49. Sharedaccess
50. SRService
51. Tapisrv
52. Themes
53. TrkWks
54. W32Time
55. WZCSVC
56. Wmi
57. WmdmPmSp
58. winmgmt
59. wscsvc
60. xmlprov
61. BITS
62. wuauserv
63. ShellHWDetection
64. helpsvc
65. WmdmPmSN
66. SSHNAS
67. napagent
68. hkmsvc" (REG_MULTI_SZ)
69.
70. =========================
71.
72. Fin à: 21:23:41 le 26/12/2012
73. 575531 Éléments analysés
74.
75. =========================
76. E.O.F
Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to delete:
SSHNAS
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to delete:
SSHNAS
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
Voilà, c'est bon je pense non ?
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\SSHNAS" not found!
Deletion of driver "SSHNAS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\SSHNAS" not found!
Deletion of driver "SSHNAS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
ok pas de driver caché....
va falloir le faire à la main......
touche windows + R
tape :
Regedit
deplie avec les petits "+" cette arborescence :
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\svchost
clic gauche sur svchost
à droite double clique sur la valeur "Netsvcs"
une liste de noms va s'afficher dans une fenetre carrée
efface SSHNAS
et supprime la ligne blanche que ca va laisser ensuite clique sur OK
ferme le registre
redemarre
refais Seaf.exe comme demandé ici :
https://forums.commentcamarche.net/forum/affich-26708314-trouver-et-detruire-un-trojan?page=4#86
va falloir le faire à la main......
touche windows + R
tape :
Regedit
deplie avec les petits "+" cette arborescence :
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\svchost
clic gauche sur svchost
à droite double clique sur la valeur "Netsvcs"
une liste de noms va s'afficher dans une fenetre carrée
efface SSHNAS
et supprime la ligne blanche que ca va laisser ensuite clique sur OK
ferme le registre
redemarre
refais Seaf.exe comme demandé ici :
https://forums.commentcamarche.net/forum/affich-26708314-trouver-et-detruire-un-trojan?page=4#86
voilà
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:46:47 le 26/12/2012
4.
5. Valeur(s) recherchée(s):
6. SSHNAS
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 23:32:09 le 26/12/2012
24. 576035 Éléments analysés
25.
26. =========================
27. E.O.F
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:46:47 le 26/12/2012
4.
5. Valeur(s) recherchée(s):
6. SSHNAS
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 23:32:09 le 26/12/2012
24. 576035 Éléments analysés
25.
26. =========================
27. E.O.F
