Infecté par cheval de troie

agnès -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour avast m'a détecté un cheval de Troie Win32:Agent-BSU[Trj] je ne peux plus me connecter à IE la page commence à s'afficher et disparait. J'ai vindows XP. Actuellement j'envoie ce message du PC de mon fils. j'ai essayé de le mettre en quarantaine mais avast me dit qu'il ne peut pas car il utilise un autre processus. Au secours je ne sais plus quoi faire. Merci pour votre aide
Configuration: Windows XP
Internet Explorer 6.0

10 réponses

  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonjour,

    * télécharge AVG Anti-Spyware (ewido)

    https://www.avg.com/en-ww/free-antivirus-download

    * tu l'installes

    * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    puis

    Lance AVG Anti-Spyware

    Clique sur le bouton Analyse (de la barre d'outils)

    Puis sur l'onglet Paramètres,
    sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

    A la fin du scan, choisis l'option 3

    "Appliquer toutes les actions " en bas.

    Clique sur "Enregistrer le rapport".

    Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    Poste le.

    pour mettre à jour tu peux
    passer par ici
    http://downloads.ewido.net/avgas-signatures-full-current.exe

    et

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  2. agnès
     
    Désolé mais comment je fais tout cela puisque je ne peux pas accéder à IE je vous envoie ces messages d'un autre pc merci de m'expliquer car je suis vraiment paumée
    0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    tu a dit
    Actuellement j'envoie ce message du PC de mon fils. 


    tu passes par le pc de ton fils et via une clé usb tu mets sur le tien.

    0
  4. agnès
     
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 15:02:59 27/02/2007

    + Résultat de l'analyse:

    C:\WINDOWS\system32\syswbsvc32(2).dll -> Dialer.InstantAccess.e : Nettoyé.
    C:\WINDOWS\system32\syswbsvc32.dll -> Dialer.InstantAccess.e : Nettoyé.
    C:\hijackthis\backups\backup-20060205-174925-113.dll -> Dialer.InstantAccess.e : Nettoyé.
    C:\hijackthis\backups\backup-20060205-210008-965.dll -> Dialer.InstantAccess.e : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP382\A3223536.sys -> Rootkit.Agent.dw : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP382\A3223558.sys -> Rootkit.Agent.dw : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP386\A3223683.sys -> Rootkit.Agent.dw : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP386\A3224683.sys -> Rootkit.Agent.dw : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP386\A3224695.sys -> Rootkit.Agent.dw : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP386\A3224708.sys -> Rootkit.Agent.dw : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP387\A3224711.sys -> Rootkit.Agent.dw : Nettoyé.
    C:\Documents and Settings\AGNES\Cookies\agnes@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
    C:\Documents and Settings\AGNES\Cookies\agnes@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\AGNES\Cookies\agnes@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
    C:\Documents and Settings\AGNES\Cookies\agnes@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\AGNES\Cookies\agnes@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP382\A3223535.sys -> Trojan.Agent.ady : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP382\A3223557.sys -> Trojan.Agent.ady : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP386\A3223682.sys -> Trojan.Agent.ady : Nettoyé.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HRA2CVW6\br1_v117_241[2] -> Trojan.Crypt.g : Nettoyé.
    C:\System Volume Information\_restore{A8E38DC2-54F1-4EE6-BBC3-9572AABBA6C4}\RP382\A3223525.exe -> Trojan.Crypt.g : Nettoyé.

    Fin du rapport
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    OK

    j'aimerai voir un rapport Hijackthis et rajoute ceci :

    * Télécharge Blacklight
    https://europe.f-secure.com/exclude/blacklight/index.shtml
    (de F-Secure)
    (le premier de la page)

    Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
    Double-clique blbeta.exe et accepte la licence;
    clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
    car des fichiers légitimes peuvent être présents, tel wbemtest.exe

    0
  7. agnès
     
    Logfile of HijackThis v1.99.1
    Scan saved at 15:09:13, on 27/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\cisvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\Dit.exe
    C:\WINDOWS\zHotkey.exe
    C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\TomTom HOME\TomTomHOME.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\WINDOWS\system32\rsmsink.exe
    C:\WINDOWS\system32\drwtsn32.exe
    C:\WINDOWS\system32\drwtsn32.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
    O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
    O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - Startup: desktop(2).ini
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - https://www.afternic.com/domains/downloadv3.com
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    merci,
    comme demandé juste au dessus, envoie un rapport blacklight stp

    0
    1. agnès
       
      02/27/07 15:23:40 [Info]: BlackLight Engine 1.0.55 initialized
      02/27/07 15:23:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      02/27/07 15:23:40 [Note]: 7019 4
      02/27/07 15:23:40 [Note]: 7005 0
      02/27/07 15:24:05 [Note]: 7006 0
      02/27/07 15:24:06 [Note]: 7011 1804
      02/27/07 15:24:06 [Note]: 7026 0
      02/27/07 15:24:06 [Note]: 7026 0
      02/27/07 15:24:13 [Note]: FSRAW library version 1.7.1021
      02/27/07 15:27:56 [Note]: 7007 0
      0
    2. agnès
       
      Je suis obligée de m absenter. Je me reconnecte ce soir. Merci encore pour ton aide et ta rapidité. a+
      0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    OK merci,

    voici la suite à donner

    lance hijackthis pour un "scan seulement" et coche :

    O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - Startup: desktop(2).ini
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - https://www.afternic.com/domains/downloadv3.com

    puis toutes fenêtres fermées y compris internet explorer clique sur "fixer objet"

    puis

    * Fait un scan antivirus en ligne Panda et copie colle le résultat ici
    https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

    * tuto en image
    https://forum.pcastuces.com/default.asp#haut

    à la lettre T

    0
    1. agnès
       
      Rebonjour
      voila la suite


      Incident Statut Analyse

      Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\AGNES\Cookies\agnes@247realmedia[1].txt
      Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\AGNES\Cookies\agnes@bluestreak[1].txt
      Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\AGNES\Cookies\agnes@statcounter[1].txt
      Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\AGNES\Cookies\agnes@xiti[1].txt
      Virus:Trj/LastGood.A Désinfecté C:\WINDOWS\Temp\wuauclt.exe
      0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    que des cookies

    que dit le pc actuellement ?

    0
    1. agnès
       
      Bonjour apparement ça refonctionne et encore merci pour ton aide. Bonne journée
      0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonjour,

    si tout est ok, alors peux tu mettre ton topic en RESOLU. Merci
    bonne journée
    0