Backdoor trojan
yoana02
Messages postés
9
Statut
Membre
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,
Norton antivirus à jour ne peut ni réparer, ni supprimer le virus Backdoor Trojan dans c\windows\system32\sql.dll
j'ai appliqué la procédure de désactivation de restauration en mode sans échec. J'ai recherché le fichier sql.dll et trouvé un fichier msdasql.dll.
est-ce le même fichier? Puis-je le supprimer sans préjudice pour le reste.
Merci d'avance de votre réponse.
Cordialement.
Yoana
Norton antivirus à jour ne peut ni réparer, ni supprimer le virus Backdoor Trojan dans c\windows\system32\sql.dll
j'ai appliqué la procédure de désactivation de restauration en mode sans échec. J'ai recherché le fichier sql.dll et trouvé un fichier msdasql.dll.
est-ce le même fichier? Puis-je le supprimer sans préjudice pour le reste.
Merci d'avance de votre réponse.
Cordialement.
Yoana
A voir également:
- Backdoor trojan
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan killer - Télécharger - Antivirus & Antimalwares
- Trojan powershell - Guide
- Trojan gen 2 ✓ - Forum Antivirus
45 réponses
- 1
- 2
- 3
Suivant
Résumé de la discussion
Une infection par Backdoor Trojan est détectée par Norton à jour mais non supprimée ni réparée, même après désactivation de la restauration en mode sans échec et en présence des fichiers sql.dll et msdasql.dll.
Plusieurs répondants suggèrent d’utiliser des outils anti-malware externes comme EMSIsoft et des manipulations avec des utilitaires tels que dllfix et Start.bat pour générer des rapports d’analyse.
D’autres évoquent des résultats variables selon les fichiers touchés (par exemple sql.dll, wdm.dll ou msopt.dll) et recommandent une collecte systématique de logs pour confirmer les signatures et guider les actions.
À noter, les infections évoluent avec plusieurs trojans et la restauration complète peut nécessiter une sauvegarde propre ou une réinstallation.
Bonjour
non , ce n'est pas le meme fichier
l faut que tu affiches les fichiers caché , il apparaitera
quand tu es en mode sans echec , relance ton antivirus
non , ce n'est pas le meme fichier
l faut que tu affiches les fichiers caché , il apparaitera
quand tu es en mode sans echec , relance ton antivirus
Bonjour,
J'ai le même problème avec backdoor, qd je suis la précédure Symantec et que je lance une vérif Norton en mode sans échec il ne détecte rien. Par contre dès que je redémarre normalement la protection temps réel de Norton affiche sans arrêt le message avec comme fichier infecté sqloojc.dll Mon anti virus est à jour. Merci de votre aide.
J'ai le même problème avec backdoor, qd je suis la précédure Symantec et que je lance une vérif Norton en mode sans échec il ne détecte rien. Par contre dès que je redémarre normalement la protection temps réel de Norton affiche sans arrêt le message avec comme fichier infecté sqloojc.dll Mon anti virus est à jour. Merci de votre aide.
Oui c de meme pour moi, il est indetectable en mode sans echec, par contre en normal, g mon message de norton qui n'arrete pas de s'afficher !!!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour
J'ai le mm pb .trjan backdoor est venu se mettre dans un fichier :
system32\wdm.dll et impossible pour l'instant de le déloger.
Quelqu'un a-t-il une solution? Merci de répondre .
J'ai le mm pb .trjan backdoor est venu se mettre dans un fichier :
system32\wdm.dll et impossible pour l'instant de le déloger.
Quelqu'un a-t-il une solution? Merci de répondre .
Salut.
1 - les "virus" détectés sous les noms de "backdoor.xxxx" (contracté souvent en "bkdr") ou de "trojan.xxxx" ou de "troj.xxxx" ne sont pas vraiment des virus mais des chevaux de troie dont les antivirus traditionnels ont presque toujours du mal à se débarrasser , ce qui est normal : ils ne sont pas conçus pour ça !
Lire absolument => http://www.commentcamarche.net/virus/trojan.php3
2 - un logiciel facile, gratos et efficace pour en virer certains (mais pas tous) est SpybotS&d, avec notamment une version française, disponible ici http://sebsauvage.net/logiciels/spybotsd.html ou bien aussi TheCleaner http://www.moosoft.com/thecleaner/download.php ; et puis il existe des scans anti-troyens en ligne ici http://assiste.free.fr/p/frameset/03_06.php
3 - l'installation d'un firewall (http://www.commentcamarche.net/lan/firewall.php3) est indispensable pour limiter ce genre de souci à l'avenir ; large choix ici => http://www.firewall-net.com/fr/
4 - en matière de sécurité au sens large, visiter http://sebsauvage.net et notamment http://sebsauvage.net/safehex.html
A+
-=O(_BmV_)O=- L'amour comme épée,
|| || l'humour comme bouclier.
1 - les "virus" détectés sous les noms de "backdoor.xxxx" (contracté souvent en "bkdr") ou de "trojan.xxxx" ou de "troj.xxxx" ne sont pas vraiment des virus mais des chevaux de troie dont les antivirus traditionnels ont presque toujours du mal à se débarrasser , ce qui est normal : ils ne sont pas conçus pour ça !
Lire absolument => http://www.commentcamarche.net/virus/trojan.php3
2 - un logiciel facile, gratos et efficace pour en virer certains (mais pas tous) est SpybotS&d, avec notamment une version française, disponible ici http://sebsauvage.net/logiciels/spybotsd.html ou bien aussi TheCleaner http://www.moosoft.com/thecleaner/download.php ; et puis il existe des scans anti-troyens en ligne ici http://assiste.free.fr/p/frameset/03_06.php
3 - l'installation d'un firewall (http://www.commentcamarche.net/lan/firewall.php3) est indispensable pour limiter ce genre de souci à l'avenir ; large choix ici => http://www.firewall-net.com/fr/
4 - en matière de sécurité au sens large, visiter http://sebsauvage.net et notamment http://sebsauvage.net/safehex.html
A+
-=O(_BmV_)O=- L'amour comme épée,
|| || l'humour comme bouclier.
salut
fait ceci
http://membres.lycos.fr/aricop/forum/dllfix.exe
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
la chasse et la balltrap ma vrai passion
voir site perso dans profil
fait ceci
http://membres.lycos.fr/aricop/forum/dllfix.exe
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
la chasse et la balltrap ma vrai passion
voir site perso dans profil
me revoilà,
je l'ai posé sur mon bureau et lorsque je clic, j'ai le message suivant : Internet explorer ne peut pas télécharger dllfix.exe
internet explorer n'a pu ouvrir ce site.....
je ne peux rien faire de plus
que faire?
Yoana
je l'ai posé sur mon bureau et lorsque je clic, j'ai le message suivant : Internet explorer ne peut pas télécharger dllfix.exe
internet explorer n'a pu ouvrir ce site.....
je ne peux rien faire de plus
que faire?
Yoana
re
tu fait click droit dessus et tu le decompresse
la chasse et la balltrap ma vrai passion
voir site perso dans profil
tu fait click droit dessus et tu le decompresse
la chasse et la balltrap ma vrai passion
voir site perso dans profil
Bonsoir,
si je peux me permettre, j'ai fais ce que tu as préconisé à Yoana, j'ai le"output.txt; puis je te le soumettre car j'aimerai stopper mes soirées de veille consacrées depuis dimanche soir à essayer de me débarrasser de ce troyan "craignos"?
Merci beaucoup.
jc31
si je peux me permettre, j'ai fais ce que tu as préconisé à Yoana, j'ai le"output.txt; puis je te le soumettre car j'aimerai stopper mes soirées de veille consacrées depuis dimanche soir à essayer de me débarrasser de ce troyan "craignos"?
Merci beaucoup.
jc31
bonjour,
j'ai fais ce que tu m'as dis, je l'ai décompressé, mais après il m'envoie vers un raccourci qui débouche sur internet, et là il n'arrive pas à charger le programme et me donne le message que je t'ai communiqué hier.
Je suis désespérée.....surtout lorsque je vois que ça marche pour certains
Merci de ta patience
A+++
Yoana
j'ai fais ce que tu m'as dis, je l'ai décompressé, mais après il m'envoie vers un raccourci qui débouche sur internet, et là il n'arrive pas à charger le programme et me donne le message que je t'ai communiqué hier.
Je suis désespérée.....surtout lorsque je vois que ça marche pour certains
Merci de ta patience
A+++
Yoana
re
que trouve tu quand il a decompresser tu devrait avoir un fichier starbat
la chasse et le balltrap ma vrai passion
voir site perso dans profil
que trouve tu quand il a decompresser tu devrait avoir un fichier starbat
la chasse et le balltrap ma vrai passion
voir site perso dans profil
re
J'ai fais un scn avec HouseCall , voici ce qu'il a trouvé :
TROJ STARTPAG.AC non cleanable dans C:\\Program Files Windows Med...
" " C;\\Windows\system32\notepa...
TROJ. P2E.G " C:\\Windows\p2eso
TROJ. DELF.RA " " \2_0_1browserh
TROJ. KILLREG.D " " \autoclk.exe
TROJ.AGENT.AU " " \crir.exe
TROJ.SMALL.KG " " \msopt.dll
TROJ.STARTPAG.AC " " \notepad.exe.bak
voilà, qu'en penses-tu? Peut-on espérer.
@++++
J'ai fais un scn avec HouseCall , voici ce qu'il a trouvé :
TROJ STARTPAG.AC non cleanable dans C:\\Program Files Windows Med...
" " C;\\Windows\system32\notepa...
TROJ. P2E.G " C:\\Windows\p2eso
TROJ. DELF.RA " " \2_0_1browserh
TROJ. KILLREG.D " " \autoclk.exe
TROJ.AGENT.AU " " \crir.exe
TROJ.SMALL.KG " " \msopt.dll
TROJ.STARTPAG.AC " " \notepad.exe.bak
voilà, qu'en penses-tu? Peut-on espérer.
@++++
re
non, je n'ai pas ce fichier, j'ai seulement dllfix.exe qui m'envoie sur le raccourci du ^m nom, et qui n'aboutie pas
non, je n'ai pas ce fichier, j'ai seulement dllfix.exe qui m'envoie sur le raccourci du ^m nom, et qui n'aboutie pas
bon
ton anti virus est il a jour si non met le a jour
ensuite demarre en mode sans echec et essai de scanner avec ton anti virus et suppr se qu il trouve
------------------
ensuite fait ceci en mode sans echec si tu as xp
ou 2000
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
la chasse et le balltrap ma vrai passion
voir site perso dans profil
ton anti virus est il a jour si non met le a jour
ensuite demarre en mode sans echec et essai de scanner avec ton anti virus et suppr se qu il trouve
------------------
ensuite fait ceci en mode sans echec si tu as xp
ou 2000
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Bonjour,
J'ai à peu près le même problème. Backdoor.Trojan (nom générique) dans le fichier System32.win.dll. L'alerte virus de Norton le détecte mais rien au scan, même en mode sans échec. Et impossible de supprimer le fichier même depuis le DOS car le fichier est introuvable (en fait je l'ai détecté une fois mais la suppression était impossible. ensuite il a disparu).
J'ai tout essayé depuis 5 jours. Un technicien de Micrososft très cool s'y est mis aussi. Mais rien à faire. Finalement j'ai appelé NORTON (ils voulaient me facturer69 euros alors que je viens de me réabonner!!!) et on m'a dit.... qu'ils n'avaient toujours aucune solution efficace contre Backdoor.Trojan (contrairement à ce uq e laisse supposer le site de symanatec) et qu'ils attendaient une réponse.
Je crois que je vais être obligé de rebooter, ce dont je me passerais bien en ce moment (ma femme est sur le point d'accoucher, déménagement en vue: bref: tout au bon moment).
Donc: si qq'1 a une solution effiocace: merci d'avance (mais inutile d'essayer les procédures bâteau
: je les ai
à peu près toutes faites, c'est une VRAI pb et ça sent le npouveau trojan...
Merci d'avance.
Vincent
Je crois que
J'ai à peu près le même problème. Backdoor.Trojan (nom générique) dans le fichier System32.win.dll. L'alerte virus de Norton le détecte mais rien au scan, même en mode sans échec. Et impossible de supprimer le fichier même depuis le DOS car le fichier est introuvable (en fait je l'ai détecté une fois mais la suppression était impossible. ensuite il a disparu).
J'ai tout essayé depuis 5 jours. Un technicien de Micrososft très cool s'y est mis aussi. Mais rien à faire. Finalement j'ai appelé NORTON (ils voulaient me facturer69 euros alors que je viens de me réabonner!!!) et on m'a dit.... qu'ils n'avaient toujours aucune solution efficace contre Backdoor.Trojan (contrairement à ce uq e laisse supposer le site de symanatec) et qu'ils attendaient une réponse.
Je crois que je vais être obligé de rebooter, ce dont je me passerais bien en ce moment (ma femme est sur le point d'accoucher, déménagement en vue: bref: tout au bon moment).
Donc: si qq'1 a une solution effiocace: merci d'avance (mais inutile d'essayer les procédures bâteau
: je les ai
à peu près toutes faites, c'est une VRAI pb et ça sent le npouveau trojan...
Merci d'avance.
Vincent
Je crois que
salut a tu essayer ceci
http://emmanuel.ostenne.free.fr/keops/zipfiles/dllfix.exe
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
http://emmanuel.ostenne.free.fr/keops/zipfiles/dllfix.exe
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
merci pour ton aide Balltrap...
Je n'ai pas pu répondre avant (parti acheter des meubles pour la chambre du bébé à naître).
Malheureusement, je ne peux pas poser le fichier infecté (Sytem32\win.dll) sur le bureau puisqu'il est introuvable. Il n'est repéré que par NORTON -(et encore pas au scan).
Un doute: j'ai le sentiment que si les termes Backdoor et Trojan sont en principe génériques
, les termes de Backdoor.Trojan désignent aussi UN
trojan spécifique pour Norton. Parmi les patch de symantec, il y en a un (Fix autoupder je crois) qui est censé l'éradiquer (mais ce patch ne marche pas chez moi: il s'arrête avant de finir). Et le technicien de symantec que j'ai eu rapidement en ligne , s'il n'avait pas la solution, avait bien l'air de connaître le problème "backdoor.trojan".
Vraiment ce trojan, ça sent mauvais.
Je n'ai pas pu répondre avant (parti acheter des meubles pour la chambre du bébé à naître).
Malheureusement, je ne peux pas poser le fichier infecté (Sytem32\win.dll) sur le bureau puisqu'il est introuvable. Il n'est repéré que par NORTON -(et encore pas au scan).
Un doute: j'ai le sentiment que si les termes Backdoor et Trojan sont en principe génériques
, les termes de Backdoor.Trojan désignent aussi UN
trojan spécifique pour Norton. Parmi les patch de symantec, il y en a un (Fix autoupder je crois) qui est censé l'éradiquer (mais ce patch ne marche pas chez moi: il s'arrête avant de finir). Et le technicien de symantec que j'ai eu rapidement en ligne , s'il n'avait pas la solution, avait bien l'air de connaître le problème "backdoor.trojan".
Vraiment ce trojan, ça sent mauvais.
Autant pour moi Balltrap. J'ai lu ton message de travers.
Avec l'aide précieuse du technicien que j'ai déjà eu en ligne l'autre jour, j'ai donc finalement téléchargé le programme et fait un scan.
Le résultat était le suivant:
-----------------------------
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
23/07/2004
15:43
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "PRESARIO" (4087:2519) - FS:NTFS clusters:4k
Total: 75 819 659 264 [71G] - Free: 67 449 401 344 [63G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\SYSTEM32\WIN.DLL +++ File read error
\\?\C:\WINDOWS\System32\WIN.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\win.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2921E640-7CBB-49B1-937A-906382DD6A10}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{0EE81DDD-A6C9-4BF1-B940-22025B55A9B4}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{0EE81DDD-A6C9-4BF1-B940-22025B55A9B4}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\win.dll
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
-------------------------------------------------------------
Après cela, j'ai essayé la procédure que tu as indiquée au message 23 (taper 2, puis 1 puis le nom du fichier non targeté). Puis redémarrer. Puis re scan.
Mais ça ne semble rien donner: le rapport du scan reste le même.
Je suis perplexe. Si tu as une idée, merci d'avance.
Vincent
Avec l'aide précieuse du technicien que j'ai déjà eu en ligne l'autre jour, j'ai donc finalement téléchargé le programme et fait un scan.
Le résultat était le suivant:
-----------------------------
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
23/07/2004
15:43
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "PRESARIO" (4087:2519) - FS:NTFS clusters:4k
Total: 75 819 659 264 [71G] - Free: 67 449 401 344 [63G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\SYSTEM32\WIN.DLL +++ File read error
\\?\C:\WINDOWS\System32\WIN.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\win.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2921E640-7CBB-49B1-937A-906382DD6A10}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{0EE81DDD-A6C9-4BF1-B940-22025B55A9B4}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{0EE81DDD-A6C9-4BF1-B940-22025B55A9B4}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\win.dll
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
-------------------------------------------------------------
Après cela, j'ai essayé la procédure que tu as indiquée au message 23 (taper 2, puis 1 puis le nom du fichier non targeté). Puis redémarrer. Puis re scan.
Mais ça ne semble rien donner: le rapport du scan reste le même.
Je suis perplexe. Si tu as une idée, merci d'avance.
Vincent
j'ai le meme p^robleme, voci le resultat :
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
22/07/2004
16:17
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "" (F4F3:D9AA) - FS:NTFS clusters:4k
Total: 41 101 688 832 [38G] - Free: 24 562 528 256 [23G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\D3DHJN.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3DHJN.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\d3dhjn.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D476A0F-A8C6-43AF-9B7D-C96BDC7EFC4C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{0E6C37C7-3C6F-44A5-9397-644BFF49E405}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{0E6C37C7-3C6F-44A5-9397-644BFF49E405}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\d3dhjn.dll
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
22/07/2004
16:17
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "" (F4F3:D9AA) - FS:NTFS clusters:4k
Total: 41 101 688 832 [38G] - Free: 24 562 528 256 [23G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\D3DHJN.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3DHJN.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\d3dhjn.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D476A0F-A8C6-43AF-9B7D-C96BDC7EFC4C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{0E6C37C7-3C6F-44A5-9397-644BFF49E405}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{0E6C37C7-3C6F-44A5-9397-644BFF49E405}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\d3dhjn.dll
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
pour franck
-Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"
Sous menu "1- Enter dll name..."
Tu rentres le nom : C:\WINDOWS\System32\D3DHJN.DLL
Touche entrée.
-Il va la chercher et la supprimer après un redémarrage.
passe le plusieur fois
-Passer CoolWebSchredder : ->Fix.
-Passer AdAware et supprimer tout ce qu'il trouvera.
(Passer CWS et AdAware impérativement, même si ça a été fait avant!)
voici les lien des 2 log a telecharger avant
CWShredder
http://www.spywareinfo.com/~merijn/downloads.html
la chasse et le balltrap ma vrai passion
voir site perso dans profil
-Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"
Sous menu "1- Enter dll name..."
Tu rentres le nom : C:\WINDOWS\System32\D3DHJN.DLL
Touche entrée.
-Il va la chercher et la supprimer après un redémarrage.
passe le plusieur fois
-Passer CoolWebSchredder : ->Fix.
-Passer AdAware et supprimer tout ce qu'il trouvera.
(Passer CWS et AdAware impérativement, même si ça a été fait avant!)
voici les lien des 2 log a telecharger avant
CWShredder
http://www.spywareinfo.com/~merijn/downloads.html
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Je rejoins le club de Vincent et de Franck... Comme eux, je me bats sans résultat et depuis des jours contre backdoor.trojan, avec la fenêtre de Norton constamment affichée, en mode normal. J'ai exécuté ta manip, balltrap, et voilà le contenu de "output.txt"... Ca t'inspire quelque chose ? (Au passage, désolé, ça te fait un client de plus)
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
22/07/2004
21:26
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "" (0000:0212) - FS:NTFS clusters:4k
Total: 39 999 500 288 [37G] - Free: 30 042 316 800 [28G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\system32\notepad.exe
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
8.0.0.4490 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
22/07/2004
21:26
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "" (0000:0212) - FS:NTFS clusters:4k
Total: 39 999 500 288 [37G] - Free: 30 042 316 800 [28G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\system32\notepad.exe
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
8.0.0.4490 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;
- 1
- 2
- 3
Suivant
mais en mode normal, il apparait mais ne peut être supprimer. Il y a une procédure que préconise Symantec où il faut supprimez la sélection " masquer les fichiers protégés du sytème d'exploitation" et alors là apparaît un message qui dit que si on confirme cette action, l'ordinateur peut devenir inutilisable. Pourtant Symantec le préconise. Est-ce un pile ou face.
Je ne suis pas très calée en la matière.
mais comme les messages qui suivent ma question, j'ai le même problème. Des fenêtres norton se multiplient en signalant ce fichier.
Merci de pouvoir nous aider
Yoana
tu ne risque rien
Affiche tous les fichiers et dossiers :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Decocher masquer les extentions dont le type est connues
et ensuite tu suppr se fichier
la chasse et la balltrap ma vrai passion
voir site perso dans profil
mais çà ne marceh pas, il me met accès refusé lorque je fais la suppression, et vérifier que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé actuellement.
mais il doit être utilisé puisque je n'arrive pas à fermer toutes les fenetres d'avertissements de norton
@+++