Cheval de troie dans le fichier pagefile.sys

maelle -  
 Utilisateur anonyme -
Bonjour,
j'ai actuellement un cheval de troie dans le fichier C:\pagefile.sys de mon ordinateur.
Cependant je ne peux pas le mettre en quarantaine car une fenêtre apparait en me disant qu'il n'y a pas assez de place sur mon disque et donc par conséquent il ne peut traiter ce fichier!
comment faire? J'ai besoin d'aide de tout urgence!
merci d'avance
Configuration: Windows XP
Firefox 2.0.0.14

12 réponses

  1. Utilisateur anonyme
     
    salut,

    désactive la mémoire virtuelle, sous XP, je sais plus exactement l'emplacement , mais ça doit pas trop changer de vista: touche windows + pause, paramètres systèmes avancés, performances, paramètres, mémoire virtuelle, modifier, décoche tout les lecteurs, valide...

    une fois ceci fait, tu pourras supprimer pagefile.sys

    pour le faire apparaitre, ouvre n'importe quel dossier, puis fait outils, options des dossiers, affichage, afficher les fichiers-dossiers systèmes...

    puis regarde dans lecteur qui était coché au début, à la racine, tu trouveras pagfile.sys , supprime le , ça risque rien, si jamais il est réticent, tu pourras surement le supprimer après redémarrage de ton ordi...

    une fois ce fichier supprimé, il faudra dans tout les cas faire une analyse complète de ton ordi:

    - planifie un scan au démarrage avec ton antivirus
    - fait aussi un scan avec spybot ( google est ton ami )
    - enfin, fait un rapport avec hijackthis, et poste le dans la section virus, des pro de la désinfection se feront un plaisir de faire l'analyse...

    tu pourras ensuite réactiver la mémoire virtuelle, en retournant dans les paramètres de performances, et en recochant le lecteur que tu avait précédemment décoché... un nouveau fichier pagefile.sys sera re-crée,

    pense à désactiver l'affichage des fichiers systèmes, pour éviter des soucis

    PS: qu'est ce qui te fait croire que tu as un trojan dans ton pagefile.sys ?
    et oui, quel antivirus ? est il à jour ?

    @ +

    ( Kikou Ares ^^ )
    1
    1. maelle
       
      mon antivirus est avast est je viens de le mettre à jours ya quelques jours.
      merci pour toutes ces informations.
      0
      1. Utilisateur anonyme > maelle
         
        pas de quoi, tiens nous au jus...
        0
      2. maelle > Utilisateur anonyme
         
        alors,j'ai voulu m'occuper de mon petit problème mais (il faut le dire j'y connais rien en info) je ne sais pas comment désactiver ma mémoire visuelle je n'ai pas trouvé de bouton ou de case a décocher pour ça. Et une autre question, tu m'as dit de désactiver l'affichage des fichiers systèmes mais c'est où ça et c'est quoi? désolé ce n'est vraiment pas mon domaine.
        De plus j'avais pas vu ton PS. Le cheval de troie a été trouvé par mon antivirus. (je suppose que c'est ça un trojan)
        désolé d'être aussi peu débrouillarde sur ce sujet.
        et merci encore pour ta prochaine réponse
        0
  2. Utilisateur anonyme
     
    mais ton antivirus a détecté le virus, et là tu as dit quoi ? mettre en quarantaine ? supprimer ? ignorer ? tu te souviens ?

    dans tout les cas, ce que je te conseille, dans le doute, poste un rapport hijackthis

    télécharge le soft ICI

    place le à la racine de C: , puis fait un rapport, puis poste le résultat ici stp

    ( oubli ce que je t'ai dit pour la mémoire virtuelle ... )
    0
  3. maelle
     
    quand j'ai vu ce cheval de troie j'ai voulu le mettre en quarantaine mais une fenêtre est apparue en disant qu'il n'y avait pas assez de place sur le disque est donc qu'il ne pouvait effectuer le traitement. Alors j'ai pas voulu supprimer comme je connaissais pas le fichier infecté.
    Je m'occupe de télécharger le truc que tu m'as dit , ce soir.
    merci encore
    0
  4. Utilisateur anonyme
     
    maelle, je suis moi aussi infecté par un autre virus, regarde mon post :

    http://www.commentcamarche.net/forum/affich 6181244 infecte par shopping report?dernier#dernier

    fait comme moi ^^

    @ +
    0
    1. maelle
       
      dsl tu va me trouver encore très nulle mais comment tu fais pour que ton truc scan C:/ parce que moi quand je le lance il me scan le disque D:/
      Ca veut dire quoi le placer à la racine.
      Encore désolé de mon ignorance il faut tout m'expliquer comme à une gamine de 5ans.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    la racine du disque dur C, est C:

    ton fichier doit donc se trouver sur c:\hijackthis.exe ( et non pas par exemple c:\dossier\sousdossier\hijackthis.exe )

    donc, un fichier placé directement sur C: et non dans un dossier, oui sous dossier, est dit "à la racine"...

    une fois le fichier placé là, tu le lance, puis tu choisis do a scan & save a log file, une nouvelle fenêtre s'ouvrira ( bloc notes ), avec le rapport crée, là tu fait copier/coller de l'intégralité du fichier, clique dessus, puis fait CTRL + A ( séléctionner tout ), puis clique droit avec la souris copier... pour le coller, je pense que tu devrais trouver ^^
    0
  7. maelle
     
    alors hijackthis est bien dans C:
    il apparait sous le nom de hijackthis.exe et pourtant lorsque je le lance il m'analyse D: !!!!!!
    Pas très logique tout ça! As tu une explication?
    merci encore
    ps: pour le mettre à la racine de C: tu déplace bien hijackthis dans C: cad que tu ouvre C: et que tu y transfère hijackthis?
    merci d'avance
    0
  8. Utilisateur anonyme
     
    comment ça il t'analyse d: ? poste voir ton rapport stp ... on verra de suite, s'il est au bon emplacement ou pas
    0
  9. maelle
     
    voila le rapport

    Logfile of HijackThis v1.99.1
    Scan saved at 10:26:09, on 01/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\RTHDCPL.EXE
    D:\WINDOWS\system32\RUNDLL32.EXE
    D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\DOCUME~1\MALLE~1\LOCALS~1\Temp\RtkBtMnt.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Windows Live\Messenger\usnsvc.exe
    D:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
    D:\Program Files\Outlook Express\msimn.exe
    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - D:\WINDOWS\system32\DRIVERS\xaudio.exe
    0
  10. maelle
     
    alors qu'est ce que t'en dit? tu peux m'aider?
    0
  11. Utilisateur anonyme
     
    comme dit, je suis pas pro en hijackthis, je vais essayer de t'envoyer de l'aide...
    0
  12. Utilisateur anonyme
     
    Salut
    pour ton rapport il n'y a pas de problème.
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    il analyse D:\ parce que c'est là qu'est installé le système;

    essaye ça :

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

    https://www.malwarebytes.com/

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAN en cliquant sur Quitter.

    13) poste le rapport de MBAM dans ta réponse avec un nouveau rapport Hijackthis.

    Question subsidiaire : tu as le nom du fichier infecté ou le nom de l'infection ?
    -1