Ordi infecté par un cheval de troie

Résolu
flans -  
jfkpresident Messages postés 13877 Statut Contributeur sécurité -
Bonjour,
cela fait quelques jours que j'ai un gros soucis avec mon pc il est apparemment infecté par un cheval de troie dont je n'arrive pas a me débarrasser malgré tout mes efforts...
je viens donc vous demander de l'aide en espérant que cela soit possible
Merci d'avance.
Configuration: Windows XP
Firefox 2.0.0.13

166 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
Résumé de la discussion

Un utilisateur signale une infection par cheval de Troie sur Windows XP et demande des solutions pour s'en débarrasser malgré des efforts répétés, au vu des conseils disponibles. Parmi les propositions pertinentes figurent le démarrage en mode sans échec avec une commande de nettoyage et le recours à des outils dédiés comme SDFix pour supprimer les objets malveillants. Certaines réponses recommandent d’effectuer un diagnostic plus approfondi avec HijackThis et de soumettre des composants suspects à un scan en ligne sur Jotti afin d’identifier les fichiers indésirables. En cas de doute, il est demandé de redémarrer en mode sans échec, de générer des rapports et de partager des traces techniques pour continuer l’échange sans conclure à une résolution immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Yo on va pas se prendre la tête,

    On fait en fonction de ce que l'on sait, on travaille en équipe nan?
    3
  2. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok

    Démarre en mode sans échec et choisis la fonction nettoyer.
    Redemarre le PC.

    A+
    2
  3. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    ça dur ça dur ben oui.... tu a passé la moitié des posts a dire n'importe quoi...

    as tu encore des prob au cas ou tu n'aurais pas suivi, Régis en a pratiquement fini avec les infections... ;)

    Salut Régis ;))
    2
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. flans
     
    Peut être pourriez vous me conseiller un peu plus qu'avec les autre message postés par des utilisateurs précédents en me donnant des directives plus spécifiques
    Je vous remercie d'avance du temps que vous m'accorderai
    1
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    A la demande de rikkunter,

    flans : Reposte moi un hijackthis complet STP .
    1
    1. Rikkunter Messages postés 7856 Date d'inscription   Statut Membre Dernière intervention   181
       
      Merci JFK :)
      0
  7. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut ! sdfix dans la foulée... je pense que tu le sais déjà ;-))

    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QUNFUg\command.exe (file missing)

    http://www.castlecops.com/o23list-915.html

    bon courage...
    1
  8. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    :-)

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
    1
  9. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Bonjour,

    Ah je pensais que tu étais un homme :-)

    Bientôt terminé.

    Vas sur le site https://virusscan.jotti.org/
    - Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :
    C:\WINDOWS\system32\14B60BCDA0.sys
    - Clic sur submit toujours en haut à droite
    - Le scan va se lancer, ça va prendre un petit instant
    - En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
    Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

    Pareil avec:
    C:\WINDOWS\system32\KGyGaAvL.sys

    -----Pour après...
    
    C:\WINDOWS\R.COM
    C:\WINDOWS\system32\T.COM
    C:\WINDOWS\Lic.xxx 
    C:\WINDOWS\system32\pltjeyer.ini
    C:\Program Files\Fichiers communs\Symantec Shared
    C:\Program Files\Norton Security Scan
    C:\Documents and Settings\ACER\Application Data\EoRezo 
    C:\WINDOWS\Tasks\Norton Security Scan.job
    C:\Program Files\Norton Security Scan\Nss.exe
    
    C:\WINDOWS\system32\14B60BCDA0.sys
    :\WINDOWS\system32\KGyGaAvL.sys 


    ----

    A+
    1
  10. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok daccord, reposes toi surtout.
    On reprends quand tu veux et quand tu peux. Vie réelle en priorité :-)
    1
  11. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Humm........Le poste date de 2008 .......^^
    1
  12. flans
     
    voila le résultat du rapport hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:09:05, on 14/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\brsvc01a.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
    C:\WINDOWS\system32\LVComsX.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QUNFUg\command.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  13. jean_louis_57 Messages postés 1359 Statut Membre 81
     
    bonjour,

    désolé mais je joue pas avec se logiciel moi
    0
  14. Rikkunter Messages postés 7856 Date d'inscription   Statut Membre Dernière intervention   181
     
    En tout cas, ton HiJackThis n'a rien d'infectueux (ou cela m'est passé à côté...) il y a juste deux-trois babioles inutiles, comme MSN Zone, mais rien de bien méchant...

    Sinon, tu as Avast!... J'en ai toujours été très satisfaite mais cependant, Antivir a rattrapé Avast niveau performance...

    Après, qu'est-ce qui te fait dire que tu as un cheval de troie ? Avast te le détecte ?
    0
  15. flans
     
    Pourtant en faisant des recherches il semblait qu'avast soit un tès bon anti-virus ...non ?
    Sinon comme anti spyware j'utilise ad aware et mon pare feu est actif
    0
    1. Rikkunter Messages postés 7856 Date d'inscription   Statut Membre Dernière intervention   181
       
      Oui, Avast est un très bon anti-virus

      C:\WINDOWS\Fonts\'\ .... Eeuuuh

      C'est le dossier des polices de Windows ça, si tu vas manuellement dans le dossier, y a t'il ce dossier nommé " ' " (apostrophe en fait)

      Et s'il est là, qu'est-ce qu'il y a dedans ?
      0
      1. Rikkunter Messages postés 7856 Date d'inscription   Statut Membre Dernière intervention   181 > Rikkunter Messages postés 7856 Date d'inscription   Statut Membre Dernière intervention  
         
        Houpla, répondu à la mauvaise place moi
        0
  16. flans
     
    effectivement j'ai avast mais c'est lorsque j'utilise ad aware qu'avast s'ouvre en me disant que mon pc est infecté par un cheval de troie, si je ne me trompe pas il serait dans le dossier C:\WINDOWS\Fonts\'\
    une idée ?
    0
  17. jean_louis_57 Messages postés 1359 Statut Membre 81
     
    bonjour,

    moi j'ai cela

    http://www.infos-du-net.com/forum/255674-11-avast-tres-performant
    0
  18. jean_louis_57 Messages postés 1359 Statut Membre 81
     
    bonjour,

    change ton anti spyware
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9