HELP, cheval de troie Fermé

Question

Bonjour,

Bonjour, 

J'ai eu un gros problème, que j'ai toujours d'ailleurs. 

J'avais l'icône rond rouge avec une croix blanche qui disait " your computer is infected,..." et un message en fond décran :"your computer is in danger". 

Je ne pouvais plus acceder au registre (je l ai retrouvé grâce à vilma) ni au panneau de configuration ni télécharger quoi que ce soit. 

J'ai transféré depuis un autre ordi un AVAST, SPYBOT et SMITFRAUD et ai fait les analyses. Cheval de troie trouvé. 

J'ai fait l'analyse avec Smit Fraud d'abord en mode normal puis en mode sans échec et voici les rapports: 

Rapport 1 (mode normal) 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data 

C:\Documents and Settings\Administrateur\Application Data\Install.dat PRESENT ! 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer 


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris 


»»»»»»»»»»»»»»»»»»»»»»»» Bureau 


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\BraveSentry\ PRESENT ! 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues 


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau 



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

IEDFix.exe by S!Ri 


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

SrchSTS.exe by S!Ri 
Search SharedTaskScheduler's .dll 


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLs"="kus109.dat" 


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"="" 


»»»»»»»»»»»»»»»»»»»»»»»» Rustock 



»»»»»»»»»»»»»»»»»»»»»»»» DNS 

Description: U.S. Robotics Wireless USB Adapter - Miniport d'ordonnancement de paquets 
DNS Server Search Order: 213.221.128.240 
DNS Server Search Order: 192.168.1.1 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5C1A77F7-7815-4045-8F73-D17ADA3F0ADD}: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5C1A77F7-7815-4045-8F73-D17ADA3F0ADD}: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5C1A77F7-7815-4045-8F73-D17ADA3F0ADD}: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.221.128.240 192.168.1.1 


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll 


»»»»»»»»»»»»»»»»»»»»»»»» Fin 














Rapport 2 (après le nettoyage et en mode sans échec:) 

SmitFraudFix v2.277 

Rapport fait à 15:13:37,67, mar. 29/01/2008 
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix 
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT 
Le type du système de fichiers est NTFS 
Fix executé en mode sans echec 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

SrchSTS.exe by S!Ri 
Search SharedTaskScheduler's .dll 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus 


»»»»»»»»»»»»»»»»»»»»»»»» hosts 


127.0.0.1 localhost 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

124.217.252.77 www.bravesentry.com 
124.217.252.77 bravesentry.com 
124.217.252.78 secure.isoftpay.com 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix 

S!Ri's WS2Fix: LSP not Found. 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix 

GenericRenosFix by S!Ri 


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés 

C:\WINDOWS\desktop.html supprimé 
C:\WINDOWS\xpupdate.exe supprimé 
C:\Documents and Settings\Administrateur\Application Data\Install.dat supprimé 
C:\Program Files\BraveSentry\ supprimé 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix 

IEDFix.exe by S!Ri 


»»»»»»»»»»»»»»»»»»»»»»»» DNS 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5C1A77F7-7815-4045-8F73-D17ADA3F0ADD}: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5C1A77F7-7815-4045-8F73-D17ADA3F0ADD}: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5C1A77F7-7815-4045-8F73-D17ADA3F0ADD}: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.221.128.240 192.168.1.1 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.221.128.240 192.168.1.1 


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires 


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"="" 


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre 

Nettoyage terminé. 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

SrchSTS.exe by S!Ri 
Search SharedTaskScheduler's .dll 


»»»»»»»»»»»»»»»»»»»»»»»» Fin 


Maintenant 

Que dois-je faire 

Lorsque j'allume l'ordi en mode normal, il n'y a plus d'icone d'infection, en revanche le PC s'éteint après qqs secondes.... 
En revanche je peux tjs le démarrer sans échec. 

Je me connecte via mon PC portable. 
ça fait une journée que je suis dessus, SVP aidez moi 




VAnes
Configuration: Windows VXP
Internet Explorer ??

vivlenet · Answer

installe hijackthis ===> google execute le fais scan and save a logfile et poste le rapport

suissesse17 · Answer

le PC ne fonctionne plus qu'en mode sans echec et je n'arrive pas à faire d analyse ("un périphérique attaché au système ne fonctionne pas correctemment")

suissesse17 · Answer

comprends pas, et me suis peut-être mal exprimée. Lorsque  allume normalement PC il s'éteint juste après avoir démarrer, donc la seule façon pour de travailler un minimum sur pC pr essayer de resoudre cette M.... est de travailler en mode sans échec

suissesse17 · Answer

Voilà son nom:

Win32:Download-gen

Je n arrive pas à faire le hijackthis

vivlenet · Answer

As tu un cd de windows xp ?? 
Sinon aussi dit moi quel est ton pc

suissesse17 · Answer

J'ai un CD XP, ms c'est pas ce CD qui a été l'installé, dinon point de vue ordi que veux-tu savoir? Sorry suis nulle pour les termes, je découvre au fur et à mesure.

HELP, cheval de troie

6 réponses

Discussions similaires

Newsletters