Troj ---downloader-2pursuit ( help)

Résolu
moic est pire Messages postés 72 Statut Membre -  
moic est pire Messages postés 72 Statut Membre -
Bonjour,

ne repondez pas avec TRJAN dan sle titre
je pourrai s pas voir
faites reponse sur celui la merci

j ai essaye de rouvrir mon topixc precedent
IMPOSSIBLE
cela se ferme automatique
Ce troj ;;;; n aime pas que l on parle de lui
je veux trouver son auteur et porter plainte...

merci de votre aide
Configuration: Windows XP
Internet Explorer 7.0

89 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

La problématique centrale décrit une infection suspectée par un cheval de Troie sur Windows XP et Internet Explorer 7, avec des symptômes incluant des fermetures automatiques et des difficultés à rétablir l’environnement. Plusieurs réponses recommandent d’analyser un fichier suspect via VirusTotal et d’extraire un rapport ligne par ligne pour identifier une éventuelle menace, tout en restant sur des sites éprouvés. D’autres éléments importants portent sur la sauvegarde du registre et l’utilisation d’outils de désinfection, avec des procédures comme Regedit, la création d’un fichier Fix.reg et l’analyse de rapports de sécurité. En complément, l’analyse des rapports indique des composants comme LVPrcSrv.exe et des modules Logitech, rappelant l’ampleur d’un audit des processus et des programmes au démarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir

    * En passant, ne touche pas a tes fichiers cachés sur le Bureau

    Va dans outils / options d affichage et remasque les fichiers et dossiers cachés
    recoche masquer les extensions des fichiers dont le type est connues ainsi que masquer les fichiers protégés du systeme d exploiotation (recommandé), cela t evitera de faire des betises.

    * Afin de tenter d'avancer Lyonnais :

    1) Sauvegarde de la base de registre en cas de probleme

    Clique sur Démarrer / exécuter / tape regedit puis ok :
    Sélectionne dans colonne de gauche la ligne "poste de travail" d'un clic:
    Dans le menu Fichier clique sur exporter :
    Choisis de sauvegarder sur le Bureau pour retrouver la sauvegarde facilement, nomme-la (ex sauvegarde bdr) puis enregistrer :
    Ta sauvegarde de la base de registre windows est sur le Bureau:
    En cas de probleme, pour la relancer, il suffira de double-cliquer dessus et d accepter la fusion dans le registre en validant par ok a la demande formulée.

    2) Creation de Fix.reg

    Crée un nouveau document texte :

    Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

    REGEDIT4
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\eqqneagtxsku]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hmmloqjbvren]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{42248C91-2117-477B-AC0E-C280556B1001}"=-
    [-HKEY_CLASSES_ROOT\CLSID\{42248C91-2117-477B-AC0E-C280556B1001}]
    [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{42248C91-2117-477B-AC0E-C280556B1001}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{3578CC4F-0E1F-445E-8072-E78435C71001}"=-
    [-HKEY_CLASSES_ROOT\CLSID\{3578CC4F-0E1F-445E-8072-E78435C71001}]
    [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3578CC4F-0E1F-445E-8072-E78435C71001}]


    Puis "fichier"/"enregistrer sous" :
    dans : sur le Bureau
    Nom du fichier : Fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    Note:
    * Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
    * Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne

    3 ) Utilisation du Fix.reg

    Double clique sur regfix.reg (que tu as créé sur ton bureau)

    => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui"

    Poste un nouveau rapport Hijackthis en réponse.

    Bonne continuation a vous 2.

    Salut.
    1
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Logitech a effectivement beaucoup de programmes de mise à jour automatiques qui accroissent un peu les risques.

    Mais Kaspersky a tendance à être un peu suspicieux. récemment, il trouvait que l'explorateur Windows était infecté ! lol.

    Un outil pour mieux apprécier ce type de menace :

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Pour icrfast, c'est une saleté.

    Tu as la solution ici :

    http://www.commentcamarche.net/forum/affich 4008504 french icrfast com#1

    ca devrait te permettre de remettre ta page de démarrage.

    Evite de sortir des sentiers battus. Reste sur des sites éprouvés.

    Tu as essayé de réouvrir l'ancien post et d'y poster un message ?

    Toujours des problèmes avec Word ? tu as le CD d'Office (ou de Word seulement) ?

    Quoi d'autre ne fonctionne pas ?

    Le sioux et moi semblons avoir le même avis : plus qu'un piratage volontaire, tu as choppé une saleté qui a altéré Windows et des applications. L'élimination des fichiers a déjà bien amélioré, mais il reste de séquelles qu'il faut identifier et guérir.

    1
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    juste de passage pour te dire que sur ton ancien topic il a été précisé que tu ne pouvais plus y retourner et il a été donné le lien de celui ci.

    tu n'es pas oublié
    0
  4. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir

    J ai prévenu Lyonnais de ton soucis , il passera sans doute ici te répondre.

    Bonne continuation.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moic est pire Messages postés 72 Statut Membre
     
    merci de tt coeur
    quel angoisse.....
    0
  7. moic est pire Messages postés 72 Statut Membre
     
    merci a toi aussi
    c est grave ce truc???
    0
  8. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Ne t inquiètes pas tu es en de très bonnes mains avec Lyonnais.

    Bonsoir.
    0
  9. moic est pire Messages postés 72 Statut Membre
     
    merci mais je suis comme fou avec cette histoire
    0
  10. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Calme toi, cela n arrangera rien, Lyonnais doit être en train d analyser ton rapport de webroot, isois patient.

    Et évite ce genre de message stp :

    http://www.commentcamarche.net/forum/affich 4416005 offre d emploi pour contrer hackers#dernier

    Merci ;)
    0
  11. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
     
    bonsoir , et merci pour les interventions, je vous laisse faire, je reste pour suivre
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    philae et le sioux merci. Si vous avez des lumières, vous êtes les bienvenus.

    en particuiulier sur la syntaxe exacte pour un regedit du post 18

    j'avance lentement.

    Poste le rapport de sweeper en entier

    le rapport ant viraussi.

    Télécharge « clean.zip »
    http://www.malekal.com/download/clean.zip
    •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

    •- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
    •- Ouvre le dossier « clean » qui se trouve sur ton bureau.
    •- Double-clic sur « clean.cmd ».
    Une fenêtre noire va apparaître, choisis l’option 2.

    Clean va travailler.
    •- Redémarre normalement
    •- Poste qui se trouve ici C:\rapport_clean.txt.

    0
  13. moic est pire Messages postés 72 Statut Membre
     
    o comme je suis content que tu sois là le noctambule...
    je redemarre
    0
  14. moic est pire Messages postés 72 Statut Membre
     
    j arrive pas a avoir le rapport de SWEEPER
    il me demande d em inscrire ... c est pas tres clair ..;
    0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    je ne laisse pas tomber mes posts.

    par contre, je peux rester une journée sans poster.

    la, je vais dormir.

    je regarde au jour.

    Je vais ajouter un dernier outil :

    télécharge combofix (par sUBs)ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    2 double-clique sur combofix.exe et suis les instructions

    3 à la fin, il va produire un rapport C:\ComboFix.txt

    4 copie/colle ce rapport dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    donc rapport spysweeper, rapport ant vir, rapport clea, rapport combo, nouveau rapport hiaj

    comment es tu connecté ? modem, box ? cable wifi ? routeur ? ip fixe ?

    0
  16. moic est pire Messages postés 72 Statut Membre
     
    00:46: État de l’analyse : 1 élément trouvé
    00:46: Traces trouvées : 4
    00:46: Analyse de la mémoire terminée, temps passé : 00:02:34
    00:46: Analyse annulée
    00:43: Démarrage de l’analyse de la mémoire
    00:43: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:43: C:\WINDOWS\system32\hmmloqjbvren.dll (ID = 3269578)
    00:43: HKLM\software\classes\clsid\{42248c91-2117-477b-ac0e-c280556b1001}\inprocserver32\ (ID = 3269578)
    00:43: C:\WINDOWS\system32\eqqneagtxsku.dll (ID = 3269577)
    00:43: HKLM\software\classes\clsid\{3578cc4f-0e1f-445e-8072-e78435c71001}\inprocserver32\ (ID = 3269577)
    00:43: Avertissement: TFileCountEnum.ProcessPartition: TVolume.Read: read past end of volume size: 0 reading cluster: 0
    00:43: Trouvé Trojan Horse: trojan-downloader-2pursuit
    00:43: Démarrer l’analyse complète
    00:43: Analyse lancée avec la version des définitions 1056
    00:43: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:40: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:39: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:36: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:36: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:32: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:32: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:29: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:28: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:25: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    00:25: Avertissement: MailShield: Failed to connect to mail server 500cf295:110. This may be caused by a firewall or the mail server may be down.
    23:45: Traces trouvées : 13
    23:45: Analyse complète a terminé. Durée 00:12:12
    23:45: Analyse des fichiers terminée, temps passé : 00:09:38
    23:43: Avertissement: SweepDirectories: Cannot find directory "h:". This directory was not added to the list of paths to be scanned.
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms2cea28ed-d6e9-47c6-a323-60585ac3e07e.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsca53d516-ba2b-479e-a94f-b2b4b2aa8ffa.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms4cb7d9c2-63ca-42ce-a362-c99eaefa62d1.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmse608fd1c-fc28-4fec-8bcd-4bd73ac993ef.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms24dc56e4-0dec-4172-aeed-ba92a3dd07bb.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsafcc5079-56c3-4bff-8c80-c3eaac23e314.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmse7e1ad32-6801-4652-852c-7e495a4c5f8d.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms8a88e4b9-52b5-4d0d-8ac9-94f5781042b2.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsc50c23ea-d470-4abc-83ee-9de8775231bc.tmp". Opération réussie
    23:43: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsa74cdbca-5453-4b09-9f3d-a1ee06ad224a.tmp". Opération réussie
    23:35: Démarrage de l’analyse des fichiers
    23:35: Analyse des cookies terminée, temps passé : 00:00:00
    23:35: c:\documents and settings\utilisateur\cookies\utilisateur@xiti[1].txt (ID = 3717)
    23:35: Trouvé Spy Cookie: xiti cookie
    23:35: c:\documents and settings\utilisateur\cookies\utilisateur@weborama[1].txt (ID = 3658)
    23:35: Trouvé Spy Cookie: weborama cookie
    23:35: c:\documents and settings\utilisateur\cookies\utilisateur@bluestreak[2].txt (ID = 2314)
    23:35: Trouvé Spy Cookie: bluestreak cookie
    23:35: c:\documents and settings\utilisateur\cookies\utilisateur@atdmt[2].txt (ID = 2253)
    23:35: Trouvé Spy Cookie: atlas dmt cookie
    23:35: c:\documents and settings\utilisateur\cookies\utilisateur@advertising[1].txt (ID = 2175)
    23:35: Trouvé Spy Cookie: advertising cookie
    23:35: Démarrage de l’analyse des cookies
    23:35: Analyse du Registre terminée, temps passé :00:00:08
    23:35: HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler\ || {42248c91-2117-477b-ac0e-c280556b1001} (ID = 2390669)
    23:35: HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler\ || {3578cc4f-0e1f-445e-8072-e78435c71001} (ID = 2390668)
    23:35: HKLM\software\classes\clsid\{42248c91-2117-477b-ac0e-c280556b1001}\ (ID = 2247594)
    23:35: HKLM\software\classes\clsid\{3578cc4f-0e1f-445e-8072-e78435c71001}\ (ID = 2247588)
    23:35: Démarrage de l’analyse du Registre
    23:35: Analyse de la mémoire terminée, temps passé : 00:02:22
    23:32: Démarrage de l’analyse de la mémoire
    23:32: C:\WINDOWS\system32\hmmloqjbvren.dll (ID = 3269578)
    23:32: HKLM\software\classes\clsid\{42248c91-2117-477b-ac0e-c280556b1001}\inprocserver32\ (ID = 3269578)
    23:32: C:\WINDOWS\system32\eqqneagtxsku.dll (ID = 3269577)
    23:32: HKLM\software\classes\clsid\{3578cc4f-0e1f-445e-8072-e78435c71001}\inprocserver32\ (ID = 3269577)
    23:32: Trouvé Trojan Horse: trojan-downloader-2pursuit
    23:32: Avertissement: TFileCountEnum.ProcessPartition: TVolume.Read: read past end of volume size: 0 reading cluster: 0
    23:32: Démarrer l’analyse complète
    23:32: Analyse lancée avec la version des définitions 1056
    Anti-enregistreur de frappe: Désactivé
    23:31: Informatif: ShieldEmail: Start monitoring port 25 for mail activities
    Pièces jointes de message électronique: Activé
    23:31: Informatif: ShieldEmail: Start monitoring port 110 for mail activities
    Protection anti-aide de navigation: Activé
    Protection Sécurité IE: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection au démarrage: Activé
    Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection communication Internet: Activé
    Protection anti-ActiveX.: Activé
    Protection Service Windows Messenger: Activé
    Protection des Favoris IE: Activé
    Protection du système de fichiers: Activé
    Protection anti-exécution: Activé
    Protections des services système: Activé
    Protection anti-détournement d’IE: Activé
    Protection anti-cookies de suivi IE: Désactivé
    23:31: État des Protections
    23:31: État de la vérification des licences (0) : Terminé !
    23:31: Définitions de logiciels espions : 1056
    23:30: Spy Sweeper 5.5.7.103 démarrée
    23:30: Spy Sweeper 5.5.7.103 démarrée
    23:30: | Début de session, mardi 25 décembre 2007 |
    ***************
    0
  17. moic est pire Messages postés 72 Statut Membre
     
    merci pour tout
    desole d etr eun peu bc p SPEED
    je fais le necessaire
    et je te nvoie cela
    j attends dan sl immediat
    merci pour tout

    JE SUIS EN ADSL avec ERNIS sur un RESEAU CABLE à PARIS
    0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tant pis pour sweeper

    avance
    0
  19. moic est pire Messages postés 72 Statut Membre
     
    j ai envoye SWEEPER
    0
  20. moic est pire Messages postés 72 Statut Membre
     
    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 26/12/2007 a 1:08:24,81

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32

    *** Suppression des fichiers dans C:\Program Files

    *** Suppression des clefs du registre effectuee..
    0
  21. moic est pire Messages postés 72 Statut Membre
     
    cela doit etre un efficace le COMBO car je suis empeche par mon ordi de l enregistrer
    cela veut dire que je ne sui splus maitre chez moi
    ce qu iest penible...
    je vai srefaire HAJI
    0
  • 1
  • 2
  • 3
  • 4
  • 5