Virus Trojan : Besoin d'aide - Page 2

Précédent
  • 1
  • 2
Réponse 21 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
apparemment il serait encore dans le registre

* télécharge ERUNT
http://www.zebulon.fr/articles/base-de-registre-3.php#sauve

par précaution avant de bidouiller dans le registre
si tu as un doute, reviens demander avec une capture d'écran par exemple c'est souvent plus parlant.

tu vas aller voir manuellement pour le supprimer

démarrer----------exécuter-------------tu tapes regedit puis ok

tu navigues jusqu'aux clés ci dessous et tu supprimes si tu vois ton exe

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="C:\\WINDOWS\\system32\\icrgnkizljya.exe:*:Disabled:icrgnkizljya"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="C:\\WINDOWS\\system32\\icrgnkizljya.exe:*:Disabled:icrgnkizljya"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="icrgnkizljya"

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\Microsoft\OLE]
"TechWayLayer"="icrgnkizljya.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="icrgnkizljya"

0
Réponse 22 / 35
Jejenet
 
Oui, je sais que c'est toujours délicat de toucher aux clés.

J'ai fait la sauvegarde avec ERUNT.

J'ai trouvé le premier :
Image : http://img146.imageshack.us/img146/2278/keysqg2.jpg (je ne sais pas si on peut insérer une image ici, en tout cas, je n'y suis pas arrivé.)
D'ailleurs, dans ce sous-groupe, les 3 derniers me semblent suspects.
Qu'en penses-tu ?
0
Réponse 23 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
oui c'est bien ça, les 3 sont à supprimer.

d'ailleurs le .exe tout seul était dans ton 1er rapport hijackthis

tu feras une recherche ensuite avec ces 2 là et OAD
0
Réponse 24 / 35
Jejenet
 
Oui, je m'en souvenais aussi.
Bon, j'ai déjà supprimé les 3 dans ce 1er sous-groupe, avec le ".exe", le "icrgnkizljya.exe" et "mswinsvcr.exe"

J'ai lancé OAD avec ".exe". le pb, c'est qu'il me sort un peu tout ce qui a .exe au bout, alors le rapport est trèèèèèès long.
Je l'ai fait aussi avec "mswinsvcr.exe", le rapport est plus court, je te le mets en 1er.
Tu veux l'analyse avec ".exe" aussi ??

25/09/2007 ---- 23:24:48,56

----------------------------------
§§§§§§ [mswinsvcr.exe] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\mswinsvcr.exe"="C:\\WINDOWS\\system32\\mswinsvcr.exe:*:Disabled:mswinsvcr"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\mswinsvcr.exe"="mswinsvcr"

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\ASProtect]
"Microsoft"="mswinsvcr.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\mswinsvcr.exe"="mswinsvcr"

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
pour celui là mswinsvcr.exe
tu peux faire la même chose virer

pour le .exe, ca va être difficile effectivement. Y a peut être une solution, faut que j'aille chercher de plus amples renseignements.

je te tiens au courant

0
Réponse 26 / 35
Jejenet
 
Bon, je repars sur la piste des " icrgnkizljya.exe" et "mswinsvcr.exe".

Tu me diras pour ".exe"
(Sinon, ça se lit, hein ! Mais c'est très long et indigeste. Et comme c'est pas non plus clairement défini que ce sont les ".exe" que l'on trouve qui sont ceux que l'on cherche, faudrait pas non plus faire une boulette en éliminant de mauvaises clés)
0
Réponse 27 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
c'est bien pour ça que je n'en veux pas du rapport, je n'ai pas envie de te faire faire des boulettes....

j'ai posé ma question je pense que j'aurais une réponse bientôt demain peut être car il est déjà tard.

0
Réponse 28 / 35
Jejenet
 
Bah en fait, j'en ai trouvé des ".exe" en regardant les autres.
Je te fais le récap :
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="C:\\WINDOWS\\system32\\icrgnkizljya.exe:*:Disabled:icrgnkizljya"
--> le 1er que je t'avais fait en imprim ecran, j'ai retiré les 3 valeurs.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="C:\\WINDOWS\\system32\\icrgnkizljya.exe:*:Disabled:icrgnkizljya"
--> Pas trouvé. Enfin, non présent, plutôt.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="icrgnkizljya"
--> ici, j'ai trouvé les 3 valeurs.

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\Microsoft\OLE]
"TechWayLayer"="icrgnkizljya.exe"
--> Trouvé.

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\icrgnkizljya.exe"="icrgnkizljya"
--> Non présent.

********************
[Registre]
********************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\mswinsvcr.exe"="C:\\WINDOWS\\system32\\mswinsvcr.exe:*:Disabled:mswinsvcr"
--> J'ai trouvé les 2 restants, à savoir le "mswinsvcr.exe" et le ".exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\mswinsvcr.exe"="mswinsvcr"
--> Déjà éliminé (voir plus haut, pdt ma recherche icrgnkizljya)

[HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\ASProtect]
"Microsoft"="mswinsvcr.exe"
--> trouvé.

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\mswinsvcr.exe"="mswinsvcr"
--> pas trouvé.

Voila.
0
Réponse 29 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bon, on avance, tu as bien bossé

essaie maintenant de relancer OAD histoire de voir si il ressort qq chose (ceux que tu n'as pas trouvé certainement.)

0
Réponse 30 / 35
Jejenet
 
Bonne nouvelle, il ne ressort plus rien sur les 2 facilement identifiables !
(Il y avait peut etre des clés à tiroirs, qui agissaient sur d'autres ?)

Sur le ".exe", j'ai refait aussi OAD, j'ai dépouillé la fin du doc autour de [HKEY_USERS\S-1-5-21-842925246-813497703-854245398-1004\Software\etc...], je n'ai rien trouvé non plus, mais bon, là c'est moins fiable, il était ptet pas caché par là non plus.
0
Réponse 31 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
ok,

comment se comporte le pc actuellement ? tu as encore des problèmes ou pas ?
0
Réponse 32 / 35
Jejenet
 
Bah jusque là, je n'ai jamais eu trop de probleme pour surfer par exemple, même si c'est un peu plus confortable qu'au début.
Maintenant, depuis le début, je n'ai pas osé me connecter à un email ou même MSN (non réouvert depuis la 1ere alerte) de peur d'être identifié ou spammé.
Tu veux que je retente un AntiVir ? ou un ActiveScan ?
0
Réponse 33 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
tu peux refaire avec antivir
0
Réponse 34 / 35
Jejenet
 
hum... Il y a un Trojan qui réapparait. (les deux autres alertes semblent être des réactions au PandaScan), je l'ai mis en quarantaine.
Est-ce que cette opération suffit ??

AntiVir PersonalEdition Classic
Report file date: mercredi 26 septembre 2007 00:40

Scanning for 848873 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: JEREMY

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/09/2007 22:55:31
AVSCAN.DLL : 7.0.6.0 49192 Bytes 23/09/2007 22:55:31
LUKE.DLL : 7.0.5.3 147496 Bytes 23/09/2007 22:55:31
LUKERES.DLL : 7.0.6.1 10280 Bytes 23/09/2007 22:55:31
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 22:52:14
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 22:52:14
ANTIVIR2.VDF : 7.0.0.4 174592 Bytes 24/09/2007 22:52:14
ANTIVIR3.VDF : 7.0.0.8 18432 Bytes 24/09/2007 22:52:15
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 23/09/2007 22:55:36
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 23/09/2007 22:55:31
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 23/09/2007 22:55:36
AVREG.DLL : 7.0.1.6 30760 Bytes 23/09/2007 22:55:31
AVARKT.DLL : 1.0.0.20 278568 Bytes 23/09/2007 22:55:31
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 23/09/2007 22:55:31
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 23/09/2007 22:54:58
RCTEXT.DLL : 7.0.62.0 86056 Bytes 23/09/2007 22:54:58
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/09/2007 22:55:31

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 26 septembre 2007 00:40

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'HijackThis.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'OCRAWR32.EXE' - '1' Module(s) have been scanned
Scan process 'ntvdm.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
26 processes with 26 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '15' files ).

Starting the file scan:

Begin scan in 'C:\' <SYSTEME>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files\Panda Security\TotalScan\pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '476491c3.qua'!
C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP283\A0035398.exe
[DETECTION] Is the Trojan horse TR/Dldr.Banload.bpn.131
[INFO] The file was moved to '472992d2.qua'!
C:\WINDOWS\system32\ActiveScan\pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '47649428.qua'!
Begin scan in 'D:\' <DATA>

End of the scan: mercredi 26 septembre 2007 01:04
Used time: 24:04 min

The scan has been done completely.

3471 Scanning directories
101577 Files were scanned
3 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
3 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
101574 Files not concerned
550 Archives were scanned
2 Warnings
0 Notes
0
Réponse 35 / 35
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonsoir,

je ne suis pas en avance aujourd'hui, désolée 

hum... Il y a un Trojan qui réapparait. (les deux autres alertes semblent être des réactions au PandaScan), je l'ai mis en quarantaine.
Est-ce que cette opération suffit ??


tu parles de ceci : 

C:\Program Files\Panda Security\TotalScan\pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '476491c3.qua'!
C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP283\A0035398.exe
[DETECTION] Is the Trojan horse TR/Dldr.Banload.bpn.131
[INFO] The file was moved to '472992d2.qua'!
C:\WINDOWS\system32\ActiveScan\pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '47649428.qua'!
Begin scan in 'D:\' <DATA>


alors ce n'est rien, 2 sont dûs au scan chez Panda, et l'autre est dans la restauration système.
On va pouvoir y remédier

d'autres questions ? d'autres soucis ?

0
Précédent
  • 1
  • 2

Discussions similaires

Chrome://newtab
Nova -
snoopy35_ -

14 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses