Sujet Précédent Sujet Suivant

Trojan-Dropper.SEH

Higgins -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,Voilà ca fait depuis ce week end que je suis embêté par Trojan.Dropper.Seh (également appelé W32/Agent.HRTZ chez Norman ) , depuis j'ai des fenêtres de pub qui s'ouvre de temps en temps, en plus des sites douteux ( sites de rencontres un peu louches, sites de soit disants protections antivirus aux noms inconnus etc)

Seul Spyware Doctor PC tools me le détecte" mais je n'ai plus la version complète donc plus posible de l'effacer et plus envie de payer 30€ surtout que le souci c'est que même quand Spyware Doctor l'effacais aprés redémarragge cette "saloperie" était toujours là

Kaspersky ne le détecte pas, idem pour Spybot Search and Destroy et également A-Squared free

J'ai voulu essayer Malwarebytes' Anti-Malware, mais mon PC redémarre au bout de 3-4 minutes de "scan", ce qui m'inquiète quand même pas mal

Selon Spyware Doctor ce trojan se situe dans ma base de registre HKEY USER Dossier Software/fcn

Que pouvez vous me conseiller sachant que j'ai déjà testé plusieurs logiciels et aucun le detecte a part Spyware Doctor

ca commence à me saouler surtout que c'est le premier "virus" que je me choppe en 8 ans d'internet chez moi :(
A voir également:

43 réponses

Précédent
Réponse 21 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

alors on va commencer par ça :

C'est bien sur le Bureau de la session Administrateur qu'est le fichier ?

Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal : 

C:\Documents and Settings\Administrateur\Bureau


[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:dl_log.txt
Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires.

0
Higgins
 
Re,

Voici le rapport

DirLook.exe v2.0 by jpshortstuff
Log created at 21:36 on 10/11/2008
==================================[b]
Contents of "C:\Documents and Settings\Administrateur\Bureau"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

[b]C902[/b] (Created on 26/08/2008 at 18:20) d-----
[b]N95aposter[/b] (Created on 25/04/2008 at 18:46) d-----
[b]Raccourcis[/b] (Created on 07/12/2007 at 16:37) dr----

[b][color=blue]---FILES---[/b][/color]

[b]DirLook.exe[/b] (199680 bytes - created on 10/11/2008 at 20:35, modified on 10/11/2008 at 20:35) --a---
[b]Google Chrome.lnk[/b] (2319 bytes - created on 03/09/2008 at 15:58, modified on 01/11/2008 at 04:41) --a---
[b]OTMoveIt3.exe[/b] (334848 bytes - created on 10/11/2008 at 20:09, modified on 10/11/2008 at 20:09) --a---
[b]P._VSO_Image_Resizer_by_yd.exe[/b] (7829505 bytes - created on 14/10/2008 at 19:58, modified on 14/10/2008 at 20:02) --a---
[b]Poste de travail.lnk[/b] (104 bytes - created on 17/06/2008 at 04:27, modified on 17/06/2008 at 04:27) --a---
[b]Pourêtre_en_bonne_santé.pps [/b] (0 bytes - created on 06/11/2008 at 17:43, modified on 06/11/2008 at 17:43) --a---

==================================
[b][color=blue]=EOF=[/b][/color]
0
Réponse 22 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

regarde bien la fin du nom par rapport aux autres : il y a un espace avant le /b. Cet espace, il faut que tu le copies quand tu copieras dans OTMoveIt : regarde ce qui va se passer quand tu sélectionneras le nom, un caractère en plus va s'afficher en bleu foncé à la fin.

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

(attention à ne pas oublier les : avant files) 

:files
C:\Documents and Settings\Administrateur\Bureau\Pourêtre_en_bonne_santé.pps


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
Higgins
 
Re, même en ajoutant un espace aprés le.pps j'obtiens le même rapport que précédemment :(
0
Réponse 23 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

et comme ça :

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

(attention à ne pas oublier les : avant processes) 

:processes
explorer.exe
:files
C:\Documents and Settings\Administrateur\Bureau\Pourêtre_en_bonne_santé.*
:commands
[start explorer]


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
Higgins
 
Bon c'est un truc de "fou" ça

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File move failed. C:\Documents and Settings\Administrateur\Bureau\Pourêtre_en_bonne_santé.pps scheduled to be moved on reboot.
========== COMMANDS ==========
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11102008_230136

Files moved on Reboot...
File C:\Documents and Settings\Administrateur\Bureau\Pourêtre_en_bonne_santé.pps not found!

Fichier pourtant toujours présent sur mon bureau :(
0
Réponse 24 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

refais Dirlook (post 42).
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 43
Higgins
 
Bonjour,

Alors voici le rapport de Dirlook

DirLook.exe v2.0 by jpshortstuff
Log created at 10:42 on 11/11/2008
==================================[b]
Contents of "C:\Documents and Settings\Administrateur\Bureau"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

[b]C902[/b] (Created on 26/08/2008 at 18:20) d-----
[b]N95aposter[/b] (Created on 25/04/2008 at 18:46) d-----
[b]Raccourcis[/b] (Created on 07/12/2007 at 16:37) dr----

[b][color=blue]---FILES---[/b][/color]

[b]DirLook.exe[/b] (199680 bytes - created on 10/11/2008 at 20:35, modified on 10/11/2008 at 20:35) --a---
[b]Google Chrome.lnk[/b] (2319 bytes - created on 03/09/2008 at 15:58, modified on 01/11/2008 at 04:41) --a---
[b]OTMoveIt3.exe[/b] (334848 bytes - created on 10/11/2008 at 20:09, modified on 10/11/2008 at 20:09) --a---
[b]P._VSO_Image_Resizer_by_yd.exe[/b] (7829505 bytes - created on 14/10/2008 at 19:58, modified on 14/10/2008 at 20:02) --a---
[b]Poste de travail.lnk[/b] (104 bytes - created on 17/06/2008 at 04:27, modified on 17/06/2008 at 04:27) --a---
[b]Pourêtre_en_bonne_santé.pps [/b] (0 bytes - created on 06/11/2008 at 17:43, modified on 06/11/2008 at 17:43) --a---

==================================
[b][color=blue]=EOF=[/b][/color]
0
Réponse 26 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

agaçant !!!

clic droit et renommer en truc.txt fonctionne ?

si non, on essaye ça :

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher fais un copier coller de : 
Pourêtre_en_bonne_santé

- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
0
Réponse 27 / 43
Higgins
 
1) renommer en .txt ne fonctionne pas ;)

2 ) Le rapport de OAD:

11/11/2008 ---- 14:08:19,82

----------------------------------
§§§§§§ [Pourˆtre_en_bonne_sant‚] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************

c:\Documents and Settings\Administrateur\Bureau\Pourˆtre_en_bonne_sant‚.pps

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Réponse 28 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.

Tu choisis la session Administrateur et pas ta session normale.

Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

Via l'explorateur, tu cherches le fichier et clic droit et supprimer.

Tu redémarres en mode normal.

Tu me tiens au courant.
0
Réponse 29 / 43
Higgins
 
déjà essayé en mode sans échec et il me met le même message d'erreur

Mais j'avais essayé via le bureau, j'essaye via l'explorateur quand même ;)
0
Higgins
 
Même constat via l'explorateur en mode sans échec, même message d'erreur :(
0
Réponse 30 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

quelque chose m'intrigue, qui est que tu sembles avoir en mode normal la session Administrateur dont je croyais qu'elle n'existait qu'en mode caché.

Tu vas en mode sans échec, sur la session Administrateur.

Tu fais un clic droit sur ton fchier et Propriétés.

Tu devrais avoir un onglet sécurité qui te donne les droits (et les moyens de les modifier) sur ce fichier.

Essaye de te donner tous les droits dessus et de retourner le supprimer.
0
Higgins
 
je n'ai qu'une seule session je n'ai jamais le choix entre Admin et Invité

Comment faire pour aller en mode sasn échec sur la session " Admin"?? Windows ne me demande rien ni en mode normal ni en mode Sans Echec
0
Réponse 31 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

OK, va en mode sans échec sur cette session Administrateur et regarde ces questions de sécurité/autorisations.
0
Higgins
 
Alors aucun moyen via clic droit en mode sans echec session admin d'avoir cet onglet sécurité sur ce fichier alors que je l'ai sur mes fichiers JPG par exemple


[IMG]http://img508.imageshack.us/img508/8222/screenhn6.jpg[/IMG]
0
Réponse 32 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

"avancé" ne mène à rien ?

alors on va essayer sous DOS avec les caractères génériques.

Tu sais faire ?
0
Réponse 33 / 43
Higgins
 
Pour le choix "avancé" j'avais regardé et en fait j'ai seulement 4 choix à cocher

http://img508.imageshack.us/img508/9836/screenhg5.jpg

Pour le DOs, non je n'ai jamais fait mais si tu me guides ca va le faire ;)
0
Réponse 34 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

c'est parti :

Tu démarres en mode sans échec

Démarrer, Exécuter, tu tapes cmd
Une fenêtre DOS s'ouvre.
Si tu vois C:\Documents and settings\administrateur\bureau, tu es là où il faut;

Sinon tu tapes cd C:\Documents and settings\administrateur\bureau
tu cliques sur "enter"

tu tapes 

del Pour*.* /F


et tu cliques sur "enter"

Il va te demander une confirmation. Tu cliques sur 'enter' pour confirmer.

Tu tapes exit puis tu cliques sur "enter" pour fermer la fenêtre de DOS.

Tu redémarres en mode normal.

Résultat ?
0
Réponse 35 / 43
Higgins
 
Bon et bien non ça ne marche pas

je t'ai fait une copie d'écran pour qu_e tu vois par toit même

la première fois j'ai tapé exactement ce que tu m'as dit et là ca me dit que le fichier est introuvable

Ensuite j'ai bougé les espacements et ca me dit qu'il ne peut pas le supprimer car le fichier est utilisé par un autre processus

Le screen shot ci-dessous:

http://img219.imageshack.us/img219/9212/sanstitrerz8.jpg
0
Réponse 36 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

normal :

C:\Documents and settings\administrateur\pour*.*

n'est pas 

C:\Documents and settings\administrateur\bureau\pour*.*


et fais très attention, tu as failli supprimer :

C:\Documents and settings\administrateur

0
Higgins
 
Ouh la boulette :(

J'y retourne je fais gaffe à bien mettre bureau :(
0
Higgins > Higgins
 
Et bien i lest enfin parti ce foutu fichier

Encore un grand merci à toi je me souviendrais de l'aide précieux que tu m'as fourni et du temps consacré à mes problèmes

Bonne continuation à toi et merci à vous tous sur ce forum vous êtes des experts les gars continuez ainsi ;)
0
Réponse 37 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

hourra !

finitions :

relance OTMoveIt3, clique sur le bouton CleanUp et suis les instructions.

On va prendre un point de restauration propre :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Défragmente ta ou tes partitions.

Je crois que on est au bout.
0
Higgins
 
Re,

Clean Up! via OTVMoveit3 effectué,

Par contre pour la deuxième partie je dois désactiver la Restauration Système je valide je ferme et je recommence en l'activant c'est bien ça ??

Et quand elle est réactivée je défragmente mon C: ??? j'ai également un DD externe ou je n'enregistre que mes photos et fichiers personnels, aucun logiciel n'y est installé, je le défragmente quand même ???
0
Réponse 38 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

pour la restauration système c'est bien ça.

Pour ton DD externe, je pense que c'est moins gênant.

Tu peux faire une analyse. Suivant le résultat, tu laisses ou tu défragmentes.
0
Higgins
 
Une fois que j'ai réactivé la restauration système est ce que je crée un point de restauration ???
0
Réponse 39 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

il s'est créé tout seul.

Tu peux aller vérifier : tu suis la procédure de création jusqu'au calendrier. Tu vas voir en gras les jours où il y a un point (au moins).
0
Réponse 40 / 43
Higgins
 
Ok en effet ;)

Merci à toi encore
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses