Détruire trojan backdoor.agent.B

steph -
Utilisateur anonyme - 5 août 2004 à 16:32

salut

Est ce qu'il existe vraiemnt une solution efficace pour enlever les trojans backdoor.agent.B détecté par norton
J'ai essayé toute ce que le site conseille pour faire ca mais il est toujours la !!
Je desepere .......

Quand j'utilise en dernier recours dllfix apres toute les manip , il me dit qu'il y a erreur et ne vas pas jusqu'au bout !!

steph

Afficher la suite

A voir également:

Détruire trojan backdoor.agent.B
Trojan remover - Télécharger - Antivirus & Antimalwares
Comment détruire un virus informatique - Guide
Anti trojan - Télécharger - Antivirus & Antimalwares
Trojan agent ✓ - Forum Virus
Virus trojan al11 ✓ - Forum Virus

75 réponses

Réponse 1 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

salut
quelle windows a tu
sinon fait ceci pour voir
Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
Texte à taper :

Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]

Pour désinstaller le " réinstalleur " secret, faites ceci :

Démarrer->exécuter-> taper regedit

Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Surlignez Windows dans le panneau de gauche.

Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".

Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :

----------------------------
This is now one looks when there is only one file loading.
0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...

Ceci est un exemple. Notez le nom qui apparaît.
---------------------------

Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
Dans le menu, choisissez "Delete on Reboot ".
Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".

Redémarrer l'ordinateur.

Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.

Ne pas se connecter une fois les dl faites jusqu'à la fin.

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 2 / 75

steph

Ah , voila le sauveur !!!!!!windows xp

Réponse 3 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

re
pas sur on vas faire tous se qui est possible et que je connaisse
se qui est bizzard c est que sous xp dllfix devrait fonctionner
refait la premiere partie et met moi le rapport si tu y arrive

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 4 / 75

steph

voila ce que me dit dllfix au passage quand je lance l'option 2
╔══════════════════════════════╗
║ Cws Searchx Fix 3.01 060504 ║
╠══════════════════════════════╣
║ 1. Enter Dll name Manually ║
║ 2. Run Fix without Dll Name ║
║ It will be searched for ║
║ Later ║
║ E. Exit ║
╚══════════════════════════════╝
{1,2,E}wdmhml.dll
Enter full name and hit enter C:\WINDOWS\system32\wdmhml.dll
installing files
1 fichier(s) copié(s).
1 fichier(s) copié(s).
1 fichier(s) copié(s).
1 fichier(s) copié(s).
1 fichier(s) copié(s).
Backing up Registry Hive
Deleting Windows Key

Adding Test Windows Key
Restoring temp Values Key
Deleting Bad Appinit Value
Testing to make sure Appinit Value is gone. IF error than its not there.
Testing to make sure Appinit Value is gone. IF error than its not there.
Testing to make sure Appinit Value is gone. IF error than its not there.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

donne moi le rapport de l option 1
stp

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 6 / 75

steph

ok, je relance et je le colle des que je l'ai !!

Réponse 7 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

oki

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 8 / 75

steph

pendant que ca tourne, j'ai lu l'autre fois que tu es routier . Et tu trouve le temps d'aider les autres comme ca???

Réponse 9 / 75

steph

c'est bon, le voila

bonne chance, moi j'y comprend rien !!

--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

30/07/2004
12:45

System Info:

Microsoft Windows XP [version 5.1.2600]
C: "VAIO" (A460:5C30) - FS:NTFS clusters:4k
Total: 20 003 848 192 [19G] - Free: 8 772 337 664 [8.2G]

*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q810847;Q813951;Q822925;Q330994;Q828750;Q824145;Q832894;Q837009;Q831167;Q823353;

Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error
\\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error

Scanning for main Hijacker:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\wdmhml.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\wdmhml.dll

*Security settings for 'Windows' key:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM

Réponse 10 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

oui c est exact je suis routier et quand je suis a la maison
l informatique est une de mes passion et bien souvent je trouve des soluces en roulant ont a le temp de reflechir

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 11 / 75

steph

c un moyen de faire passer le temps sur la route . Moi, c plutot aux filles que je pense....lol!!!

Réponse 12 / 75

steph

voila le nouveau rapport !!

--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

30/07/2004
12:45

System Info:

Microsoft Windows XP [version 5.1.2600]
C: "VAIO" (A460:5C30) - FS:NTFS clusters:4k
Total: 20 003 848 192 [19G] - Free: 8 772 337 664 [8.2G]

*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q810847;Q813951;Q822925;Q330994;Q828750;Q824145;Q832894;Q837009;Q831167;Q823353;

Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error
\\?\C:\WINDOWS\System32\WDMHML.DLL +++ File read error

Scanning for main Hijacker:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\wdmhml.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\wdmhml.dll

*Security settings for 'Windows' key:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM

Réponse 13 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

oui mais quand tu passe une bonne partie de ta vie dans le camion tu pense a plein de chose
bon on revient a ton soucis
la dll est maintenant visible dans windows
vas la et supprimme ceci
via la base de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\wdmhml.dll
ensuite cherche via l explorateur si tu la trouve et suppr
mais avant de faire cela repasse 2 fois dllfix la 2eme partie

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 14 / 75

steph

ok chef, j'y vais . Je vais dans la base de registre... Bouh...

Réponse 15 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

si tu suis bien le chemin no soucis
ne supp que ce que j ai mis en gras

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 16 / 75

steph

bon je l'ai supprimer. dllfix n'a pas fonctionné et mon navigateur a rien trouver. C bon? Que fais-je ??? Fo t'il redémarrer??

Réponse 17 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

ok on vas redemarrer
mais avant juste pour me le rappeler
a tu desactiver ta restauration systeme si non fait le

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 18 / 75

steph

c ou deja qu'on fait ca!!

Réponse 19 / 75

balltrap34 Messages postés 16241 Statut Contributeur sécurité 332

il faut la desactiver
pour ca tu fait click droit sur poste de travail
propriete.tu click sur onglet restauration systeme
tu coche la case desactiver la restauration et applique

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Réponse 20 / 75

steph

moi j'ai rien qui resemble a ca! sur clic droit

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android

comment detruire un disque dure

detruire un disque dur

Comment supprimer le virus Trojan

Comment enlever mon virus trojan:win32/si...

Détruire trojan backdoor.agent.B

75 réponses

Votre réponse

Discussions similaires

Newsletters