Détruire trojan backdoor.agent.B

steph -  
 Utilisateur anonyme -
salut

Est ce qu'il existe vraiemnt une solution efficace pour enlever les trojans backdoor.agent.B détecté par norton
J'ai essayé toute ce que le site conseille pour faire ca mais il est toujours la !!
Je desepere .......

Quand j'utilise en dernier recours dllfix apres toute les manip , il me dit qu'il y a erreur et ne vas pas jusqu'au bout !!

steph

75 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

La détection par Norton d'un Trojan backdoor.agent.B pose une difficulté à le supprimer malgré les conseils donnés et les tentatives répétées des utilisateurs et des outils proposés.
Des échanges décrivent l'utilisation de l'outil dllfix version 3.01, avec des écrans détaillant les étapes d'installation et la suppression de valeurs AppInit et d'une DLL malveillante, mais des erreurs apparaissent lors de l'exécution.
Pour l'instant, plusieurs interventions indiquent que les manipulations n'ont pas abouti à une suppression complète et qu'il faut partager le rapport des tentatives pour évaluer les prochaines étapes.
D'autres éléments suggèrent d'utiliser des rapports détaillés des outils et de vérifier les sauvegardes système et les programmes de démarrage, car certains composants peuvent réapparaître via des clés de registre.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    quelle windows a tu
    sinon fait ceci pour voir
    Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
    Texte à taper :

    Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]

    Pour désinstaller le " réinstalleur " secret, faites ceci :

    Démarrer->exécuter-> taper regedit

    Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    Surlignez Windows dans le panneau de gauche.

    Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".

    Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :

    ----------------------------
    This is now one looks when there is only one file loading.
    0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
    0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
    0010 77 00 73 00 5C 00 73 00 w.s.\.s.
    0018 79 00 73 00 74 00 65 00 y.s.t.e.
    0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
    0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
    0030 67 00 2E 00 64 00 6C 00 g...d.l.
    0038 6C 00 00 00 l...

    Ceci est un exemple. Notez le nom qui apparaît.
    ---------------------------

    Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
    Dans le menu, choisissez "Delete on Reboot ".
    Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
    doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".

    Redémarrer l'ordinateur.

    Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.

    Ne pas se connecter une fois les dl faites jusqu'à la fin.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  2. steph
     
    Ah , voila le sauveur !!!!!!windows xp
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    pas sur on vas faire tous se qui est possible et que je connaisse
    se qui est bizzard c est que sous xp dllfix devrait fonctionner
    refait la premiere partie et met moi le rapport si tu y arrive

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  4. steph
     
    voila ce que me dit dllfix au passage quand je lance l'option 2
    ╔══════════════════════════════╗
    ║ Cws Searchx Fix 3.01 060504 ║
    ╠══════════════════════════════╣
    ║ 1. Enter Dll name Manually ║
    ║ 2. Run Fix without Dll Name ║
    ║ It will be searched for ║
    ║ Later ║
    ║ E. Exit ║
    ╚══════════════════════════════╝
    {1,2,E}wdmhml.dll
    Enter full name and hit enter C:\WINDOWS\system32\wdmhml.dll
    installing files
    1 fichier(s) copié(s).
    1 fichier(s) copié(s).
    1 fichier(s) copié(s).
    1 fichier(s) copié(s).
    1 fichier(s) copié(s).
    Backing up Registry Hive
    Deleting Windows Key

    Adding Test Windows Key
    Restoring temp Values Key
    Deleting Bad Appinit Value
    Testing to make sure Appinit Value is gone. IF error than its not there.
    Testing to make sure Appinit Value is gone. IF error than its not there.
    Testing to make sure Appinit Value is gone. IF error than its not there.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    donne moi le rapport de l option 1
    stp

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  7. steph
     
    ok, je relance et je le colle des que je l'ai !!
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  9. steph
     
    pendant que ca tourne, j'ai lu l'autre fois que tu es routier . Et tu trouve le temps d'aider les autres comme ca???
    0
  10. steph
     
    c'est bon, le voila

    bonne chance, moi j'y comprend rien !!

    --==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
    --==***@@@ ORIGINAL BY FREEATLAST @@@***==--

    30/07/2004
    12:45

    System Info:

    Microsoft Windows XP [version 5.1.2600]
    C: "VAIO" (A460:5C30) - FS:NTFS clusters:4k
    Total: 20 003 848 192 [19G] - Free: 8 772 337 664 [8.2G]

    *IE version and Service packs:
    6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
    *Notepad version :
    5.1.2600.0 C:\WINDOWS\notepad.exe
    *Media Player version :
    9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    MinorVersion REG_SZ ;SP1;Q810847;Q813951;Q822925;Q330994;Q828750;Q824145;Q832894;Q837009;Q831167;Q823353;

    Locked or 'Suspect' file(s) found...
    These may be other files that Dllfix doesnt target.
    \\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error
    \\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error

    Scanning for main Hijacker:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\WINDOWS\\System32\\wdmhml.dll"
    "DeviceNotSelectedTimeout"="15"
    "GDIProcessHandleQuota"=dword:00002710
    "Spooler"="yes"
    "swapdisk"=""
    "TransmissionRetryTimeout"="90"
    "USERProcessHandleQuota"=dword:00002710

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
    @="NAV Helper"

    REGEDIT4

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
    @="AP Class Install Handler filter"
    "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
    @="AP Deflate Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
    @="AP GZIP Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
    @="AP lzdhtml encoding/decoding Filter"
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
    @="WebView MIME Filter"
    "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_Dlls REG_SZ C:\WINDOWS\System32\wdmhml.dll

    *Security settings for 'Windows' key:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs
    (ID-NI) ALLOW Full access BUILTIN\Administrateurs
    (ID-IO) ALLOW Full access BUILTIN\Administrateurs
    (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

    Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    Read BUILTIN\Utilisateurs
    Full access BUILTIN\Administrateurs
    Full access AUTORITE NT\SYSTEM
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui c est exact je suis routier et quand je suis a la maison
    l informatique est une de mes passion et bien souvent je trouve des soluces en roulant ont a le temp de reflechir

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  12. steph
     
    c un moyen de faire passer le temps sur la route . Moi, c plutot aux filles que je pense....lol!!!
    0
  13. steph
     
    voila le nouveau rapport !!

    --==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
    --==***@@@ ORIGINAL BY FREEATLAST @@@***==--

    30/07/2004
    12:45

    System Info:

    Microsoft Windows XP [version 5.1.2600]
    C: "VAIO" (A460:5C30) - FS:NTFS clusters:4k
    Total: 20 003 848 192 [19G] - Free: 8 772 337 664 [8.2G]

    *IE version and Service packs:
    6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
    *Notepad version :
    5.1.2600.0 C:\WINDOWS\notepad.exe
    *Media Player version :
    9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    MinorVersion REG_SZ ;SP1;Q810847;Q813951;Q822925;Q330994;Q828750;Q824145;Q832894;Q837009;Q831167;Q823353;

    Locked or 'Suspect' file(s) found...
    These may be other files that Dllfix doesnt target.
    \\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error
    \\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error

    Scanning for main Hijacker:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\WINDOWS\\System32\\wdmhml.dll"
    "DeviceNotSelectedTimeout"="15"
    "GDIProcessHandleQuota"=dword:00002710
    "Spooler"="yes"
    "swapdisk"=""
    "TransmissionRetryTimeout"="90"
    "USERProcessHandleQuota"=dword:00002710

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
    @="NAV Helper"

    REGEDIT4

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
    @="AP Class Install Handler filter"
    "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
    @="AP Deflate Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
    @="AP GZIP Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
    @="AP lzdhtml encoding/decoding Filter"
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
    @="WebView MIME Filter"
    "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_Dlls REG_SZ C:\WINDOWS\System32\wdmhml.dll

    *Security settings for 'Windows' key:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs
    (ID-NI) ALLOW Full access BUILTIN\Administrateurs
    (ID-IO) ALLOW Full access BUILTIN\Administrateurs
    (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

    Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    Read BUILTIN\Utilisateurs
    Full access BUILTIN\Administrateurs
    Full access AUTORITE NT\SYSTEM
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui mais quand tu passe une bonne partie de ta vie dans le camion tu pense a plein de chose
    bon on revient a ton soucis
    la dll est maintenant visible dans windows
    vas la et supprimme ceci
    via la base de registre
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_Dlls REG_SZ C:\WINDOWS\System32\wdmhml.dll
    ensuite cherche via l explorateur si tu la trouve et suppr
    mais avant de faire cela repasse 2 fois dllfix la 2eme partie

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  15. steph
     
    ok chef, j'y vais . Je vais dans la base de registre... Bouh...
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    si tu suis bien le chemin no soucis
    ne supp que ce que j ai mis en gras

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  17. steph
     
    bon je l'ai supprimer. dllfix n'a pas fonctionné et mon navigateur a rien trouver. C bon? Que fais-je ??? Fo t'il redémarrer??
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ok on vas redemarrer
    mais avant juste pour me le rappeler
    a tu desactiver ta restauration systeme si non fait le

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    il faut la desactiver
    pour ca tu fait click droit sur poste de travail
    propriete.tu click sur onglet restauration systeme
    tu coche la case desactiver la restauration et applique

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  20. steph
     
    moi j'ai rien qui resemble a ca! sur clic droit
    0
  • 1
  • 2
  • 3
  • 4