S'il vous plait aidez moi! pc infecté prorat!
natalyzik
-
roboy -
roboy -
Bonjour,
J-ai acheté un nouveau pc et lorsque j installe les premier logiciels un p**** de trjan nomé prorat backdoor m a été signifié.... j ai deja formaté 4 fois et a chaque installation d un logiciel je fais bien attention de verifier par étape pour essayer de savoir d'ou vien l'infection mais rien a faire je ne trouve pas..... du coup j ai telecharger malware byte dont je vous poste le rapport ci dessous ainsi que le rapport hijackthis.
Lors de l'annalyse Malware byte trouve et m'efface les infections mais a chaque redemarrage ellles reviennent!
Si quelqu un a une ame charitable au plus profond de lui merci de me faire signe!! ^^ ;-)
RAPPORT MALWARE :
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 3
00:28:12 03/09/2008
mbam-log-09-03-2008 (00-27-29).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 46557
Temps écoulé: 1 minute(s), 43 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\moa4.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa6.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\hoa3.tmp (Backdoor.ProRat) -> No action taken.
rapport hijacktthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:40, on 03/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\install_zike\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [FirefaceTray] fireface.exe
O4 - HKLM\..\Run: [FirefaceMixTray] firefacemix.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
J-ai acheté un nouveau pc et lorsque j installe les premier logiciels un p**** de trjan nomé prorat backdoor m a été signifié.... j ai deja formaté 4 fois et a chaque installation d un logiciel je fais bien attention de verifier par étape pour essayer de savoir d'ou vien l'infection mais rien a faire je ne trouve pas..... du coup j ai telecharger malware byte dont je vous poste le rapport ci dessous ainsi que le rapport hijackthis.
Lors de l'annalyse Malware byte trouve et m'efface les infections mais a chaque redemarrage ellles reviennent!
Si quelqu un a une ame charitable au plus profond de lui merci de me faire signe!! ^^ ;-)
RAPPORT MALWARE :
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 3
00:28:12 03/09/2008
mbam-log-09-03-2008 (00-27-29).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 46557
Temps écoulé: 1 minute(s), 43 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\moa4.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa6.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\hoa3.tmp (Backdoor.ProRat) -> No action taken.
rapport hijacktthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:40, on 03/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\install_zike\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [FirefaceTray] fireface.exe
O4 - HKLM\..\Run: [FirefaceMixTray] firefacemix.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:
- S'il vous plait aidez moi! pc infecté prorat!
- Reinitialiser pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Double ecran pc - Guide
- Forcer demarrage pc - Guide
7 réponses
Salut,
j'y connais rien en analyse Hijack mais je sais que lorsque j'ai un soucis de virus, spyware, malware,...je vais sur le forum de sosordi.net section securité.
Ils ont une équipe spécialisée pour les désinfections.
j'y connais rien en analyse Hijack mais je sais que lorsque j'ai un soucis de virus, spyware, malware,...je vais sur le forum de sosordi.net section securité.
Ils ont une équipe spécialisée pour les désinfections.
Non mais je t'explique. En general un bon trojan est bien conçu.
Il fait croire a ton anti-virus qu'il se trouve a un certain endroit, genre dans le system32 avec un nom de m*rde fhe22gd.dll ou .exe.
Alors le commun des mortelles s'empresse de le foutre en quarantaine ou de le virer. Ils pensent etre débarrasser: "Haha trop facil, heureusement que j'avais mon anti-virus pour me proteger". Mais en faite, il y a un générateur derriere qui va créer le fichier a chaque démarrage de ton pc.
Ou pire, si tu essayes de le virer manuellement il va se mettre en route pour de bon et foutre le chenit sur ton pc.
Alors si tu veux vraiment le virer va sur sosordi.net et ils te le supprimeront pour de bon. Poste un rapport hijack et suit leur consigne.
Ha oui, quel genre de logiciel tu installes ? Tu utilises des keygen ou des crack no-cd (je cherche pas a te juger ;) )?
Il fait croire a ton anti-virus qu'il se trouve a un certain endroit, genre dans le system32 avec un nom de m*rde fhe22gd.dll ou .exe.
Alors le commun des mortelles s'empresse de le foutre en quarantaine ou de le virer. Ils pensent etre débarrasser: "Haha trop facil, heureusement que j'avais mon anti-virus pour me proteger". Mais en faite, il y a un générateur derriere qui va créer le fichier a chaque démarrage de ton pc.
Ou pire, si tu essayes de le virer manuellement il va se mettre en route pour de bon et foutre le chenit sur ton pc.
Alors si tu veux vraiment le virer va sur sosordi.net et ils te le supprimeront pour de bon. Poste un rapport hijack et suit leur consigne.
Ha oui, quel genre de logiciel tu installes ? Tu utilises des keygen ou des crack no-cd (je cherche pas a te juger ;) )?
Oui c'est sur je pourrai formater mon pc indéfiniment comme je l'ai deja fait, mais tôt ou tard il reviendra ce satané trojant...
j ai déjà formaté 4 fois!
je pense que la source du trojan s est glissé dans mon disque dur extern (j ai 130G de données) mais j ai scanné le DD externe avec Malwerebyte pour essayer de trouver "la racine du trojan"mais impossible de trouver ou il se cache...
De plus j'utilise ce meme DD avec un pc portable et je n'ai aucun soucis sur le pc portable... bref je ne sais pas d'ou sort ce trojan..
Quand je reformatte mon pc et qu'il est clean je l'analyse et tout est ok c est au fur et a mesure que je commence a installer divers logiciel que l'on dirai qu'il s'installe.
J ai donc suivi étape par étape pour savoir quel été LE logiciel qui était susceptible de le contenir mais hélas il semble que ce soir alléatoire.. comme si l'install de mes logiciels n'avez rien avoir avec la mise en place de ce trojan.. apres verification mes logiciel ont tous des install "propre"....
Alors les 2 questions que je me pose sont les suivantes:
- soit je cherche ou est la racine de ce trojan pour le detruire avant qu'il n'infecte le pc
- soit je le laisse m'infecter et je le detruit une bonne fois pour toute une fois qu'il m'aura contaminé
Hummm
En tout cas merci pour vos réponses!
j ai déjà formaté 4 fois!
je pense que la source du trojan s est glissé dans mon disque dur extern (j ai 130G de données) mais j ai scanné le DD externe avec Malwerebyte pour essayer de trouver "la racine du trojan"mais impossible de trouver ou il se cache...
De plus j'utilise ce meme DD avec un pc portable et je n'ai aucun soucis sur le pc portable... bref je ne sais pas d'ou sort ce trojan..
Quand je reformatte mon pc et qu'il est clean je l'analyse et tout est ok c est au fur et a mesure que je commence a installer divers logiciel que l'on dirai qu'il s'installe.
J ai donc suivi étape par étape pour savoir quel été LE logiciel qui était susceptible de le contenir mais hélas il semble que ce soir alléatoire.. comme si l'install de mes logiciels n'avez rien avoir avec la mise en place de ce trojan.. apres verification mes logiciel ont tous des install "propre"....
Alors les 2 questions que je me pose sont les suivantes:
- soit je cherche ou est la racine de ce trojan pour le detruire avant qu'il n'infecte le pc
- soit je le laisse m'infecter et je le detruit une bonne fois pour toute une fois qu'il m'aura contaminé
Hummm
En tout cas merci pour vos réponses!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
hummmm je comprend hummm
formater c'est pas toujours facile et c'est une décision dur a prendre nataly
Je ne saurai t'aider, car je manque de compétences dans ce domaine.
J'espère que quelqu'un pourra t'aider a bien désinfecter ta machine.
hummm salut
formater c'est pas toujours facile et c'est une décision dur a prendre nataly
Je ne saurai t'aider, car je manque de compétences dans ce domaine.
J'espère que quelqu'un pourra t'aider a bien désinfecter ta machine.
hummm salut
Bonsoir a tous,
J ai reformaté et appliqué les règles de bases pour bien entretenir mon pc dans le long terme.
a savoir installation de antivir, de spywareblaster et spybot.
Ils ont directement detectés des fichiers louches donc suppression et maintenant
TOUT MARCHE NIKEL.
Merci pour vos reponse.
Bien a vous!!
J ai reformaté et appliqué les règles de bases pour bien entretenir mon pc dans le long terme.
a savoir installation de antivir, de spywareblaster et spybot.
Ils ont directement detectés des fichiers louches donc suppression et maintenant
TOUT MARCHE NIKEL.
Merci pour vos reponse.
Bien a vous!!
