Cheval de Troie au doux nom 2 Fraudo (win32) Résolu

Question

Bonjour les pros de l'informatique,

J'ai besoin de vos lumières, je suis complètement perdue et j'avoue que j'ai un peur pour mon portable.
Ca fait 4 jours qu'Avast détecte un cheval de Troie (Fraudo) sur win32, il me conseille le mettre en quarantaine (ce que je fais systématiquement) mais je le supprime aussi (après tout pourquoi ne pas tenter de s'en débarasser aussi sec j'aime bien les chevaux et l'équitation mais pas ceux là =D)

Seulement voilà... Le virus revient constamment, ou plutôt il ne part jamais ! Je crise, je suis désemparée et je ne sais plus quoi faire d'autant plus que ma soeur m'a fait peur aujourd'hui en me disant que je risquais de perdre toutes mes photos.

I need help please !!! Aidez moi s'il vous plait.

J'ai téléchargé Trojan remover mais rien et dernièrement (à l'aide d'un autre post) j'ai téléchargé un autre logiciel mais c'est du chinois quand je lis le rapport. Y comprenez-vous quelque chose vous ? 

Logfile of HijackThis v1.99.1
Scan saved at 21:29:18, on 18/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ieexplorer32.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\GABRIE~1\LOCALS~1\Temp\Répertoire temporaire 3 pour hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

MERCI A L'AME CHARITABLE QUI VOUDRA BIEN M'AIDER. J'HABITE A PARIS ET JE SUIS PRETE A REMERCIER MON SAUVEUR 5OU MA SAUVEUSE D'AILLEURS° EN LUI DINANT AVEC LUI...

eZula · Answer

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat [img]http://forum.telecharger.01net.com/forum/[/img] et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Héraclia · Answer

Coucou eZula,

Merci pour ta réponse plus que rapie j'essaye tout de suite ! =)

A plus tard !!!

Merci encore !!!

colibri3810 · Answer

processus ieexplorer32.exe -> W32/Specx
télécharge ad aware et spybot et lance l'analyse

Héraclia · Answer

Salut Colibri, merci de m'aider aussi.

J'ai spybot et Ad aware et aucun des 2 n'a réussi à virer le cheval Fraudo de mon pré (qui se trouve dans mon fichu ordi)...
Je vais retenter le coup mais j'y crois plus...

eZula · Answer

Héraclia, lance GenProc et pour le moment oublie Colibri stp

colibri3810 · Answer

ok j'ai peut être une solution
ouvre le registre windows (démarrer>exécuter>regedit)
cherche la cles
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ "IELOADER32" = "IEXPLORE32.EXE"
et supprime là

Héraclia · Answer

Ok eZula, je me concentre sur ce que tu me dis ;)

Merci !


Colibri, excuse moi...

colibri3810 · Answer

Pas de probleme.

Héraclia · Answer

eZula, je ne comprends pas comment lancer Genprog comme c'est démontré dans la démo.

J'ai réussi à lancé le programme mais il semble pas qu'il soit possible de lancer une analyse différente de celle que j'ai déjà lancée ou alors j'appuie pas sur le bon icône. 
J'ai 4 sous dossiers et l'icône Genprog (je t'ai fait une capture écran de ce que j'ai) je dois cliquer sur quoi ?

[img]https://i76.servimg.com/u/f76/11/16/40/00/je_com10.jpg[/img]

J'ai oublié de faire un truc peut être non ?

Ohlalalala, désolée j'ai l'impression d'être une vraie quiche là =(

eZula · Answer

il semble pas qu'il soit possible de lancer une analyse différente de celle que j'ai déjà lancée ou alors j'appuie pas sur le bon icône.

désolé, mais que veux-tu dire par là ?

sinon c'est le fichier bat qu'il faut lancer, nommé GenProc et avec une roue dentée en guise d'icone

eZula · Answer

Tu ne vas pas me dicter ton rapport par téléphone, ça risque d'être difficile 

Si tu veux tu peux me l'envoyer à cette adresse mail nfihvbxs@trashmail.net

Héraclia · Answer

T'as raison. Ahahahahahaha ! Cela dit j'aurai entendu le son de ta voix ;)

Nan, nan je ne drague pas... 

Je te l'envoie tout de suite !

Héraclia · Answer

Tu l'as eu ?

C'est flippant ces machins quand même, dans le rapport, y'a mon prénom qui ressort. Le type qui a inventé le programme sait comment je m'appelle alors que... Bah je le connais pas ! 
C'est délirant l'informatique quand même !!!!

eZula, tu as eu mon mail et ma saleté de rapport avec mon prénom (lol) ?

eZula · Answer

je t'ai répondu par mail visiblement c'est impossible sur le forum

au fait c'est très simple de savoir le nom de l'utilisateur d'un ordinateur.

Héraclia · Answer

Enorme !!! Moi ça m'impressionne tout ça !!!

Bon ben, je crois que je m'apprête à passer unenuit blanche à suivre scrupuleusement tout ce que me dicte ce rapport...
C'est écrit en français ouf mais alors ça va pas être simple quand même, j'ai déjà peur. Concentration maximale oblige ! 

Allez Héraclia au boulot !!!! 

Aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaah !!!

MERCI eZula

Héraclia · Answer

C'est vrai qu'Avast c'est de mierda ?

Qu'est ce que vous me conseilleriez comme antivirus ?

Héraclia · Answer

Ca craint pas de mettre son rapport d'erreur ici ? Scusez ma paranoia, je dois vous paraitre ridicule mais avec ce que je viens de découvrir ce soir je me pose beaucoup de questions... =S

Héraclia · Answer

Désolée, je suis un brin chiante ce soir mais j'ai une derière question...

Je suis crevée et je me demandais s'il était possible d'attendre un peu (voir attendre plusieurs petits jours) pour m'occuper de mon super cheval de Troie qui galope paisiblement dans mon ordi ?

Est ce qu'il faut se grouiller quand ce genre de choses nous tombent dessus où est ce qu'on a le temps de flaner et revasser un peu ?

eZula · Answer

ce qui compte c'est de ne pas trop utiliser l'ordinateur pour éviter que la situation n'empire.

Donc oui tu peux faire ça plus tard

Héraclia · Answer

Coucou eZula !!!


Je n'ai pas réussi à faire toutes les actions du rapport Genproc mais pourtant mon cheval a l'air d'être aller gouter l'herbe d'un autre pré. J'suis évidement ravie et j voulais te dire un grand MERCI

eZula · Answer

Salut,

dans ton intérêt il vaut mieux jouer le jeu jusqu'au bout. Là il n'y a pas les rapports demandés, on ne sait pas ce que tu n'es pas arrivée à faire et de ce fait je ne peux rien te garantir.

Il est préférable de souffrir pendant une heure et de se donner les moyens d'aller jusqu'au bout, plutot que de faire les choses à la va-vite au risque dse te retrouver avec les mêmes problèmes, voire pire, d'ici très peu de temps.

Je te laisse méditer sur ces mots.

Héraclia · Answer

J'ai du mal m'exprimer dans l'euphorie de ne plus avoir AVAST m'avertir  qu'un cheval de Troie a infecté mon ordinateur mais de ne pas paniquer pour autant.

J'ai fait quasiment toutes les actions demandées par le rapport Genpro, j'ai pris ça trés au sérieux et j'y ai passé plusieurs heures. Si je n'ai pas fait toutes les actions c'est parce qu'à un moment (juste avant l'étape 4) je me suis retrouvée bloquer parce que l'un des rogramme ne m'a pas sorti ce que le rapport demandait. Si tu veux je peux mettre tous mes rapports d'erreurs de tous les logiciels que j'ai téléchargé (SDfix, SmitFraudFix, ToolBarSD, HiJack, Gen proc ou encore Trojan Remover). Si mon 2ème rapport (celui de Genproc) n'aparait pas c'est parce que le forum semblait ne pas vouloir accepter ce rapport (j'ai essayé plus d'une dizaine de fois pourtant) c'est pour ça qu'il a eu cette incompréhension (moi persuadée de l'avoir postée et toi qui me le réclamait) bref... Du coup, je te l'ai envoyé par mail ;)

Je vais tenter de rebalancer mon rapport d'erreur Genproc que j'arrivais pas à mettre hier (le 1er mais j'en ai 5 ou 6 puisque j'ai conservé scrupuleusement tous les rapports de chaque logiciel étape par étape pendant ma chasse aux sorcières de la nuit) 

Allez c'est parti j'essaye... Je le fais dans le message qui suivra parce que si ça fait comme hier, je vais perdre tout ce que j'ai écrit là ;)

Héraclia · Answer

Voilà il se passe exactement le même souci qu'hier...

Impossible de mettre mon rapport ici, j'espère que vous me croyez...

Ci joint une copie d'écran me disant que j'ai déjà envoyé le message alors qu'il n'en ai rien... :S

https://i76.servimg.com/u/f76/11/16/40/00/re_pro10.jpg

eZula · Answer

ne t'inquiète pas je te crois, d'ailleurs ce n'est pas la première fois que ça arrive ce genre de bug.

A la limite, tu peux m'envoyer tous ces rapports en message privé, ou comme hier sur le mail que je t'ai donné

Héraclia · Answer

Ok, on fait comme hier ;)

Merci de patience

Sacabouffe · Answer

Salut
Désolé, un souci, le message est là

RAPPORT GENPROC ET QUELQUES REMARQUES EN GRAS...

Rapport GenProc 2.119 [4] effectué le 18/10/2008 à 22:27:44,50 - Windows XP

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide : http://img81.imageshack.us/img81/7585/spybotrsident2ke.jpg

# Etape 1/ Télécharge :

- Toolbar-S&D (Team IDN) https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 sur ton Bureau. Installe simplement le programme en exécutant le fichier téléchargé. OK

- SmitfrauFix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant. OK

- SDfix (Andy Manchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans C:\. OK


***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "Gabrielle") *****

Ca j'ai eu du mal, ça a viré plien de trucs dont mon fond d'écran (je marque ça seulement parce que c'est le truc le plus visible) mais OK


# Etape 2/

Relance Toolbar-S&D en double-cliquant sur son raccourci situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression. OK

# Etape 3/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
A CE MOMENT LA IL A TROUVE LE TROJAN ET A EMIS UN SIGNAL. Je devais cocher une case, j’ai mis continuer mais y’avait une autre case qui me brancher bien dans le genre EXCLUDE
#


Etape 4/

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

DE QUOI IL PARLE . COMMENT CA LE DOSSIER sdfix QUI A ETE CREE . Je peux rouvrir SDFix mais je lance une analyse et point final, je vois pas de dossier de créé à part les sauvegardes de rapport que j’ai fait moi .



JE N'AI JAMAIS REUSSI A FAIRE CE QUI VA SUIVRE MAIS J'AI LANCE SDfix QUAND MM (2 fois de suite et j'ai gardé les rapports)
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer, fais-le pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

# Etape 5/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 6/

Redémarre normalement et poste, dans la même réponse :
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt ;
- Le contenu du rapport C:\TB.txt ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Bonne continuation ;-)

Héraclia · Answer

Ah ok ! Merci Sacabouffe (ton pseudo me fait bien rire au passage ;) )

Depuis on a vachement avancé avec Ezula et on arrive à la fin de mes ennuis !

Merci pour tout, ce forum est fantastique. Je suis contente de constater que dans notre société hyperindividualiste il reste encore des gens comme vous. Ca fait vraiment plaisir ! 

ENCORE MERCI A Ezula avec qui je dois encore discuter demain matin pour voit si tout est vraiment sous contrôle mais aussi à Colibri qui a aussi tenté de m'aider (mais fallait bien que je me concentre sur une seule aide, c'est assez dur pour nous, les " novices " de l'informatique)et donc aussi à toi Sacabouffe qui a débusqué mon message de je ne sais où !!!

Sacabouffe · Answer

Ben de rien Héraclia ;-)
Moi j'ai juste récupérer le rapport dans les oubliettes de CCM :-D
Bonne chance pour la suite !

eZula · Answer

Still alive ?

Cheval de Troie au doux nom 2 Fraudo (win32)

29 réponses

Votre réponse

Discussions similaires

Newsletters