Cheval de troie

dikkenek -  
raleuboleu Messages postés 5028 Statut Membre -
Bonsoir,
Slt à tous. G chopé un cheval de troie sur le portable (c avast qui l'a détecté, et m'a conseillé de le mettre en quarantaine). La mise en 40aine n'a pas fonctionné, je l'ai donc supprimé. Mais g d'autres chevaux de troie et ne sais + koi faire... Qqun peut-il m'aider?
Merci. Nico
Configuration: Windows XP
Internet Explorer 6.0

22 réponses

  • 1
  • 2
  1. clownface Messages postés 1490 Statut Membre 73
     
    Bonsoir,

    Commence par ceci : virus methode preliminaire de desinfection version fr
    et postes les rapport ici
    0
  2. raleuboleu Messages postés 5028 Statut Membre 79
     
    salut Nico

    Ok avast ne fait pas son taff!!! quel parefeu as tu?

    lance ceci dans 1 1er temps :

    Sdfix:

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    puis poste 1 rapport hijack stp voir ici:

    hijack

    Télécharge HijackThis ici:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)

    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    bizoux
    0
  3. dikkenek
     
    je suis en tr1 d'installer ccleaner
    0
  4. dikkenek
     
    super! je fais ttça, j'en ai pour 1 moment, je suis une burne en info, comparé à des gens kom vous ki maitrise bi1 ces choz là! J'ai juste réussi à tlchgé un antivirus et détecté qu'ils y en avaient. A toute.... Merci encore.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dikkenek
     
    ...tite derniere kestion...c koi un "log"? (par ex : "....un nouveau log hijackthis...")
    0
  7. raleuboleu Messages postés 5028 Statut Membre 79
     
    re moi

    il t'as donné Ccleaner , garde le meme apres tes soucis finis et passe le 2x / semaines on va dire !!! mais garde le et met le a jour régulierement, de meme pour AVG!!! tres bon outil aussi!!

    bizoux
    0
  8. dikkenek
     
    j'galére a fond!! lol !!! ca doit être bi1 de toucher sa bille en info!!!
    0
  9. dikkenek
     
    ca va pour l'instant, tt se déroule kom tu m'a dit! C vréman sympa de ta part pour le coup 2 main!!!
    0
  10. dikkenek
     
    voici le rapport report.txt

    SDFix: Version 1.107

    Run by Mathieu on 29/09/2007 at 00:58

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\DOCUME~1\Mathieu\LOCALS~1\Temp\uninstall.exe - Deleted

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
    "C:\\Documents and Settings\\Mathieu\\Mes documents\\msn messenger2\\msnmsgr.exe"="C:\\Documents and Settings\\Mathieu\\Mes documents\\msn messenger2\\msnmsgr.exe:*:Enabled:MSN Messenger"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
    "C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    Remaining Files:
    ---------------

    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Fri 9 Dec 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
    Fri 9 Dec 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
    Fri 9 Dec 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
    Fri 9 Dec 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
    Fri 9 Dec 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
    Fri 23 Dec 2005 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv15.bak"
    Fri 9 Dec 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Fri 28 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT1.tmp"
    Sun 28 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
    Fri 10 Mar 2006 401 A..H. --- "C:\Documents and Settings\Mathieu\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
    Fri 9 Dec 2005 4,348 ...H. --- "C:\Documents and Settings\Mathieu\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
    Fri 10 Mar 2006 1,536 A..H. --- "C:\Documents and Settings\Mathieu\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"
    Fri 10 Mar 2006 400 ...H. --- "C:\Documents and Settings\Mathieu\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
    Sun 12 Nov 2006 6,994,944 A..H. --- "C:\Documents and Settings\Mathieu\Mes documents\Mes documents\lyc‚e\dossier bac\Ecrit\document tcs\~WRL2871.tmp"

    Finished!
    0
  11. raleuboleu Messages postés 5028 Statut Membre 79
     
    re

    suis curieuse t'en ai où?
    ^^
    0
  12. dikkenek
     
    bah écoute, c super bi1 expliké car je m'en sort!!!
    voici le 2iéme rapport:

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 01:11:53, on 29/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Acer\eManager\anbmServ.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\WinAntiSpyware 2006\was6.exe
    C:\acer\epm\epm-dm.exe
    C:\Program Files\Fichiers communs\WinAntiSpyware 2006\was6cw.exe
    C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
    C:\Documents and Settings\Mathieu\Mes documents\msn messenger2\msnmsgr.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\neuf telecom\neuf Box\Wizard\Agent_WiFi.exe
    C:\Program Files\WinAntiSpyware 2006\wasffNT.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Documents and Settings\Mathieu\Bureau\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: (no name) - {860c2f6b-ca82-4282-9187-beccbb66f0af} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [WinAntiSpyware 2006] C:\Program Files\WinAntiSpyware 2006\was6.exe /min
    O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
    O4 - HKLM\..\Run: [WAS6cw] "C:\Program Files\Fichiers communs\WinAntiSpyware 2006\was6cw.exe" -c
    O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Documents and Settings\Mathieu\Mes documents\msn messenger2\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\neuf telecom\neuf Box\Wizard\Agent_WiFi.exe
    O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4B8BF35D-C459-426C-9BC6-DAC52B21B55E}: NameServer = 80.118.192.112,80.118.196.42
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
    0
  13. dikkenek
     
    .... et sans indiscretion, tout ça va servir à koi?
    0
  14. raleuboleu Messages postés 5028 Statut Membre 79
     
    re

    Dikkenek : ca veut dire relancer hijackThis et poster son raport ici pour analyse! c'est 1 analyse robot apres faut chercher pour avoir de vrai réultat

    as tu commencé AVG?

    bizoux
    0
  15. dikkenek
     
    t pa sortie avec moi!!!! je coné kedal en language info....dsl
    0
  16. raleuboleu Messages postés 5028 Statut Membre 79
     
    re

    désolée ma souris merde et clavier idem!!!!
    hijack aide aide mais ce n'es qu'un robot!!! il faut verifier chaque ligne malgré tou
    donc du temps aussi
    laaaaaaaance AVG si c pas fais please, scan tonsysteme entierement mais avant tout met le a jour c impératif

    bizzz
    0
  17. dikkenek
     
    tu me dis ke je dois relancer jackouille mais je fais komen? kom taleure? je ferme tout et je remets jack en marche? dsl mais c pas évident a comprendre pour moi... (c kom la cage de faraday pour toi!!!lol)
    0
  18. dikkenek
     
    sé pa ce ke c AVG, le scanner aprés (scaner ki koi komen où, je coné ri1)? et mettre à jour ki koi.... enfin, je vais pa te saouler + lgtps, c déjà sympa d'avoir doné de ton tps. je te remercie bcp.
    0
  • 1
  • 2