Pb virus multiples et backdoor

TOUNE30 -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
Notre antivirus (Karsperky) nous a detecté cette semaine plusieurs chevaux de troie (ver, exploit, downloeder...). Mais je ne sais pas trop si il les a correctement enlevé car il y en a un notamment (backdoor win32 Van Bot) qui a l'air d'être partout (sur C, D(uniquement sauvegarde fichiers) et aussi sur ma clé USB alors qu'il dit à chaque fois qu'il l'a supprimé. Je ne comprend plus rien. J'ai tenté de faire un rapport hijackthis mais je ne suis pas très sûre car je ne comprend pas grand chose en Anglais.
A l'aide!!!
Merci bcp
Configuration: Windows XP
Firefox 3.0.4

28 réponses

  • 1
  • 2
Résumé de la discussion

Infection détectée par l'antivirus avec plusieurs chevaux de Troie et une backdoor Win32 sur les disques internes et externes, générant une incertitude sur l'efficacité des suppressions et la propagation via une clé USB. Des solutions proposées incluent l'utilisation d'outils externes comme USBFix, RAV Antivirus et Malwarebytes, la vérification des lecteurs externes et la répétition des analyses avec des rapports clairs. Plusieurs réponses suggèrent de ne pas se fier à un seul outil et de cibler les suppressions multiples, les redémarrages et la vérification de la restauration système. Une précision utile est que la liste des éléments détectés peut inclure des entrées obsolètes après nettoyage, ce qui justifie une revue des éléments de démarrage et des services.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. toune30 Messages postés 79 Statut Membre
     
    désolée, je n'ai pas mis le rapport et je ne parviens pas à modifier mon message (je suis douée!!!)
    est-ce que c'est ça qu'il faut?

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:49:59, on 16/11/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\atwtusb.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe
    C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\internet\Bureau\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=4061023
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=4061023
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
    O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
    O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
    O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Packard Bell Services - C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      salut

      Télécharge UsbFix sur ton bureau

      http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

      --> Lance l installation avec les paramètres par default

      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

      --> Double clic sur le raccourci UsbFix sur ton bureau

      --> Le PC va redémarrer

      -->Après redémarrage poste le rapport UsbFix.txt

      Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
      Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
      0
  2. toune30 Messages postés 79 Statut Membre
     
    Je comprends rien, ça marche pas. Déjà j'ai dû l'installer 3 fois, à chaque fois, il me redemandait de l'installer. J'ai mis ma clé, double-cliquer, mais maintenant il se passe rien, si je double clique sur l'icone usbfix, j'ai un petit cardre rouge ou il écrit "chemin spécifié introuvable". le rapport hijackis n'allait pas?
    merci
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      le hijackthis est un outil de dignostique pas un fixe on+ tu la mal installer

      il devrai etre içi C:\Programme Files\Trend Micro\HijackThis

      usbfix on le fera plus tard

      Telecharge FindyKill sur ton bureau :

      http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

      --> Lance l installation avec les parametres par default

      --> Double clic sur le raccourci FindyKill sur ton bureau

      --> Au menu principal,choisi l option 1 (Recherche)

      --> Post le rapport FindyKill.txt

      Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
      0
  3. toune30 Messages postés 79 Statut Membre
     
    Ok, voici le rapport :

    -------------- FindyKill V4.700 ------------------

    * User : internet - RUFFL
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 13/11/08 par Chiquitine29
    * Recherche effectuée à 17:44:16 le 16/11/2008
    * Windows XP - Internet Explorer 6.0.2900.5512

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\WINDOWS\system32\atwtusb.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe
    C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    »»»» Presence des fichiers dans C:\WINDOWS

    »»»» Presence des fichiers dans C:\WINDOWS\Prefetch

    »»»» Presence des fichiers dans C:\WINDOWS\system32

    »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Presence des fichiers dans C:\Documents and Settings\internet\Application Data

    »»»» Presence des fichiers dans C:\DOCUME~1\internet\LOCALS~1\Temp

    »»»» Presence des fichiers dans C:\Documents and Settings\internet\Local Settings\Temporary Internet Files\Content.IE5

    --------------- [ Registre / Startup ] ----------------

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    atwtusb REG_SZ atwtusb.exe beta
    AVP REG_SZ "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz REG_SZ nwiz.exe /install
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    Packard Bell Software Suite REG_SZ C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
    VeohPlugin REG_SZ "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

    --------------- [ Registre / Clés infectieuses ] ----------------

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

    Ndisuio - Type de démarrage = 3

    EapHost - Type de démarrage = 3

    Ip6Fw - Type de démarrage = 3

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe

    D: - Lecteur fixe

    J: - Lecteur amovible

    +- presence des fichiers :

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Not found !

    ------------------- ! Fin du rapport ! --------------------
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      Télécharges http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe ( de Cyrildu17 / C_XX ) sur ton bureau :


      /!\ Déconnectes toi et fermes toutes applications en cours

      ● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
      ● Double clique sur l'icône Ad-removersituée sur ton bureau
      ● Au menu principal choisi l'option "A"
      ● Postes le rapport qui apparait à la fin .

      ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

      (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

      Note :

      "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)
      0
  4. toune30 Messages postés 79 Statut Membre
     
    Voila le nouveau rapport. Et au fait, tu vois quoi dans ces rapports?

    F --------- Logfile of AD-Remover 1.0.3.3 by C_XX ---------

    START at: 18:06:18 | 16/11/2008
    ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP )
    Internet Explorer: 6.0.2900.5512
    OPTION: Scan
    EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
    USER: internet | PC: RUFFL
    BOOT MODE: Normal
    DRIVE(S): C:\
    ~> Systemdrive: C:\

    --------- [ PROCESSES ] ---------

    \SystemRoot\System32\smss.exe [928]
    \??\C:\WINDOWS\system32\csrss.exe [996]
    \??\C:\WINDOWS\system32\winlogon.exe [1020]
    C:\WINDOWS\system32\services.exe [1064]
    C:\WINDOWS\system32\lsass.exe [1076]
    C:\WINDOWS\system32\svchost.exe [1308]
    C:\WINDOWS\system32\svchost.exe [1420]
    C:\WINDOWS\System32\svchost.exe [1548]
    C:\WINDOWS\system32\svchost.exe [1640]
    C:\WINDOWS\system32\svchost.exe [1848]
    C:\WINDOWS\system32\spoolsv.exe [1964]
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [240]
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe [280]
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE [320]
    C:\WINDOWS\system32\nvsvc32.exe [356]
    C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe [800]
    C:\WINDOWS\Explorer.EXE [576]
    C:\WINDOWS\system32\svchost.exe [896]
    C:\WINDOWS\system32\UAService7.exe [984]
    C:\WINDOWS\system32\atwtusb.exe [1224]
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [196]
    C:\WINDOWS\system32\RUNDLL32.EXE [412]
    C:\WINDOWS\system32\ctfmon.exe [420]
    C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe [448]
    C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe [456]
    C:\WINDOWS\System32\alg.exe [2604]

    ---------------------------- [~> 26]

    +---------------------------------------------------------------------------+
    +------------------------------- SERVICES FOUND
    +---------------------------------------------------------------------------+

    Found ! - "Boonty Games"

    +---------------------------------------------------------------------------+
    +------------------------------- REGISTRY ELEMENTS FOUND
    +---------------------------------------------------------------------------+

    "HKEY_LOCAL_MACHINE\Software\Boonty"
    "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Boonty Games"
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Boonty Games"
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Boonty Games"
    "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BOONTY_GAMES"

    +---------------------------------------------------------------------------+
    +------------------------------- FILES\FOLDERS FOUND
    +---------------------------------------------------------------------------+

    [24/06/2008 14:34|d--------] C:\Program Files\Fichiers communs\BOONTY Shared
    [24/06/2008 14:34|d--------] C:\Documents and Settings\All Users\Application Data\BOONTY

    +---------- Scanning prefs.js ... ( # Mozilla User Preferences )

    ...\skzdx0cn.default\prefs.js :

    ~~~~ Mozilla FireFox version 3.0.4 ~~~~

    Start Page : "https://www.google.fr/?gws_rd=ssl"

    +----------+

    +---------------------------------------------------------------------------+

    +---------- Added scan ...

    +-----[HKLM\...\Run]

    atwtusb REG_SZ atwtusb.exe beta
    AVP REG_SZ "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz REG_SZ nwiz.exe /install
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    +-----[HKCU\...\Run]

    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    Packard Bell Software Suite REG_SZ C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
    VeohPlugin REG_SZ "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

    +-----[HKLM\...\Internet Explorer\MAIN]

    Start Page : hxxp://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen

    +-----[HKCU\...\Internet Explorer\MAIN]

    Start Page : hxxp://search.orbitdownloader.com

    +---------------------------------------------------------------------------+
    +------------------------------- [ EOF - 88 lines ]
    +---------------------------------------------------------------------------+

    [ END at: 18:07:37 | 16/11/2008 ] - [ Time elapsed: 78.5 seconds ]
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      Regarde cela :

      Politique menée par Boonty Games :
      "Il se peut que nous partageons aussi des informations payantes avec des tiers
      qui fournissent ds services payants et partage des données regroupées montrant le type
      et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
      niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
      internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
      De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
      qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

      Je te conseille donc de le supprimer, pour cela
      :


      relance ad-remover et choisie l'option 2(suppression;nettoyage)


      Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
      Mais C.. de penser que ­tu es libre...Merci a australe13
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. toune30 Messages postés 79 Statut Membre
     
    d'accord, j'ai enlevé bounty game comme tu l'avais préconisé, mais d'ou vient-il, c'était un virus? et est-ce que cela à voir avec le backdoor qui infecte C, D et ma clé? tu le vois apparaitre ds les difféents rapports?
    Merci bcp
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      d'ou il vient je ne c'est pas

      a tu telecharger des jeux peut-etre que sa vient de la

      ton rapport findykill il y'avait rien

      ad remover lui ta detecter le boonty game quand voit aussi dans le hijackthis

      Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
      https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

      * Lance l'installation du programme en exécutant le fichier téléchargé.
      * Double-clique maintenant sur le raccourci de Toolbar-S&D.
      * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
      * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
      * Poste le rapport généré. (C:\TB.txt)
      0
  7. toune30 Messages postés 79 Statut Membre
     
    Merci pour la réponse,je n'ai pas répondu car pour moi, la soirée était terminée!
    Donc sur le hitjackis et findkill, tu ne vois rien d'autre? (pour moi, ces rapports sont du chinois!!!) . Effectivement, mon antivirus dit à chaque fois qu'il l'a supprimé! le problème, c'est que ce tojan (backdoor Win 32 van bot) revient sans cesse, et sur tous mes stockages. Est-ce possible que Karsperky l'élimine vraiment (d'ou les rapports précédents ou on ne voit rien) mais que je me réinfecte sans cesse par le même trojan, auquel cas il faudrait que je trouve pourquoi et comment?
    J'ai vu ce que tu me propose de vérifier. Si je ne me trompe pas c'est pour virer les barres d'outils superflues? A priori, je n'en ai pas, c'est clean de ce côté là... C'était pour ça ou pour autre chose?
    Encore merci du temps que tu prends pour m'aider.
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      salut

      c'est effectivement pour sa mais le rapport montre autre chose

      si tu te reinffecte et avec quelle fichier
      0
  8. toune30 Messages postés 79 Statut Membre
     
    eT Voila le nouveau! tu vois qqchose? D'ailleur, je vois que mon firewall n'est pas activé? normal à ton avis? Je ne me rappelle pas pourquoi j'ai fait ça!!! incompatibilité avec l'antivirus ou gros oubli de ma part??? je vois aussi que ce rapport parle d'internet explorer mias je n'y vais jamais, toujours par firefox. Et je vois aussi apparaitre megaupload. Je l'ai eu en effet mais qq heures, je l'ai enlevé (enfin normalement!!!) de mes barres d'outil. Alors pourquoi elle apparait?!
    Que de questions! et que de patience de ta part!
    -----------\\ ToolBar S&D 1.2.4 XP/Vista

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) D CPU 3.40GHz )
    BIOS : Phoenix ROM BIOS PLUS Version 1.10 1.0.2
    USER : internet ( Administrator )
    BOOT : Normal boot
    Antivirus : Kaspersky Anti-Virus 7.0.1.325 (Activated)
    Firewall : (Not Activated)
    C:\ (Local Disk) - NTFS - Total:220 Go (Free:147 Go)
    D:\ (Local Disk) - NTFS - Total:74 Go (Free:3 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
    Option : [1] ( 17/11/2008|11:53 )

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (internet) - {991A772A-BA13-4c1d-A9EF-F897F31DEC7D} => megaupload
    (internet) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Search Page"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr"
    "Search Bar"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1"
    "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Start Page"="https://www.msn.com/fr-fr"
    "Home_Page"="https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1"
    "Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"

    --------------------\\ Recherche d'autres infections

    Aucune autre infection trouvée !

    1 - "C:\ToolBar SD\TB_1.txt" - 17/11/2008|11:55 - Option : [1]

    -----------\\ Fin du rapport a 11:55:35,65
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      ou kapersky te la supprimer ou il est bien cacher on va le débusquer on mode sans échec

      1) Télécharge SDFix d' AndyManchesta

      http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.

      Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
      N y touche pas pour l instant.

      2) Redémarre en mode sans échec

      3) SDFix
      * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
      * Appuie sur Y pour commencer le processus de nettoyage.
      * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
      * Appuie sur une touche pour redémarrer le PC.
      * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
      * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
      * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
      · Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
      0
  9. toune30 Messages postés 79 Statut Membre
     
    petit problème... J'ai dû bloquer le téléchargement de SDfix car Karpersky s'est faché rouge!!! >Je te joins ce qu'il me dit...

    découvert : virus Heur.Invader (modification) URL: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe//SDFix/apps/Cghtme.exe
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      oui t'inquiète pas c'est un faux positif

      tout comme smitfraudfix ou combofix

      Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus....) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

      Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
      Mais C.. de penser que ­tu es libre...Merci a australe13
      0
  10. toune30 Messages postés 79 Statut Membre
     
    Cette fois, ça a été long. Il me semble qu'il confirme que le méchant trojan n'est plus là... mais alors pourquoi revient-il sans cesse....

    [b]SDFix: Version 1.240 [/b]
    Run by internet on 17/11/2008 at 14:08

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    No Trojan Files Found

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-11-17 14:27:20
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
    "C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
    "C:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"="C:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe:*:Enabled:Veoh Web Player "
    "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
    "C:\\Program Files\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe"="C:\\Program Files\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:pandora"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

    [b]Remaining Files [/b]:

    [b]Files with Hidden Attributes [/b]:

    Thu 26 Oct 2006 88 A.SHR --- "C:\i386\EE87FF7D6B.sys"
    Fri 27 Oct 2006 4,184 A.SH. --- "C:\i386\KGyGaAvL.sys"
    Fri 10 Aug 2007 56 ..SHR --- "C:\WINDOWS\system32\6B7DFF87EE.sys"
    Mon 1 Oct 2007 88 ..SHR --- "C:\WINDOWS\system32\EE87FF7D6B.sys"
    Mon 1 Oct 2007 4,184 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
    Fri 4 Apr 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Sat 10 Mar 2007 444 ...HR --- "C:\Documents and Settings\All Users\Application Data\SecuROM\UserData\securom_v7_01G.bak"

    [b]Finished![/b]
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      c'est une cle de registre qu'il faut supprimer pour cela il fait la trouver sa évitera que sa réactive l'infection a chaque redémarrage

      télécharge malwarbyte http://www.commentcamarche.net/telecharger/telechargement 34055379 malwarebytes anti malware

      a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher


      Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

      A la fin du scan clique sur Afficher les résultats

      Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout
      S'il t'es demandé de redémarrer >>> clique sur "Yes"


      Et tu poste le rapport générer

      et on attendant une réponse tu peut refaire un scan malwarbyte mais on mode sans échec car beaucoup plus efficace

      comment démarrer on mode sans échec ici tuto http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec

      tu enregistre le rapport générer de façon a le retrouver et tu poste le nouveau rapport rapport
      0
  11. toune30 Messages postés 79 Statut Membre
     
    Vraiment je comprends rien.
    malwarebyte a cherché partout, je lui avais aussi demandé de vérifier ma clé USB. Il a rien trouvé, tout était à 0 sur le rapport, mais en MEME TEMPS (au moment ou malwarebyte finissait) karspersky m'a trouvé ça :
    Infecté : cheval de Troie Backdoor.Win32.Rbot.rqg J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe 27,5 Ko. Il m'a proposé de le supprimé, ce que j'ai fait (une fois de plus!!!)
    .... alors que ce matin, tout était nickel qd j'ai lancé l'analyse et depuis, je n'ai RIEN fait ni ajouté sur ma clé. Alors d'ou ça vient, surtt que malwarebyte n'a rien vu....
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      vide ta corbeille et poste moi le rapport malwarbyte stp

      et va dans la quarantaine de kaspeersky et supprime se qui s'y trouve
      0
  12. toune30 Messages postés 79 Statut Membre
     
    La corbeille est vide, je l'ai vidée en fin de matinée. Qt à la quarantaine, il n'y a rien puisuq'à chaque fois, karsperky le supprime. Je n'ai donc que sont rapport de suppression, ...

    Malwarebytes' Anti-Malware 1.30
    Version de la base de données: 1403
    Windows 5.1.2600 Service Pack 3

    17/11/2008 15:44:39
    mbam-log-2008-11-17 (15-44-39).txt

    Type de recherche: Examen complet (C:\|D:\|J:\|)
    Eléments examinés: 125866
    Temps écoulé: 48 minute(s), 46 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      maintenant relance usbfix si sa veut pas desinstalle via ajout et supression et reinstalle le


      J;\ c'est ta clé usb ?
      0
  13. toune30 Messages postés 79 Statut Membre
     
    oui, j c'est ma clé. Mais je rappelle que depuis 2 mois, on a retrouvé ce backdoor plein de fois sur C et sur D alors qu'à chaque fois que je mets ma clé, karsperky dit qi'il l'a supprimé.
    Voila rapoort usbfix. ça te parle?
    encore merci d'être toujours là, parce que j'ai bien conscience que c'est long...
    ------------ UsbFix V2.408 ---------------

    * User : internet -
    * Outils mis a jours le 16/11/2008 par Chiquitine29 et Chimay8
    * Recherche effectuée à 16:26:13 le 17/11/2008
    * Windows Xp - Internet Explorer 6.0.2900.5512

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\userinit.exe
    C:\DOCUME~1\internet\LOCALS~1\Temp\1.tmp\b2e.exe

    --------------- [ Informations lecteurs ] ----------------

    C: - Lecteur fixe

    D: - Lecteur fixe

    J: - Lecteur amovible

    --------------- [ Lecteur C ] ----------------

    C: - Lecteur fixe

    +- Listing des fichiers présents :

    [20/08/2004 10:37][--a------] C:\AUTOEXEC.BAT
    [05/08/2004 12:00][-rahs----] C:\NTDETECT.COM
    [29/06/2008 14:51][--a------] C:\bnupdate.exe
    [18/05/2008 18:00][-rahs----] C:\boot.ini
    [12/01/2007 19:15][--a------] C:\Requirements.txt
    [12/01/2007 19:15][--a------] C:\TB.txt
    [12/01/2007 19:15][--a------] C:\UsbFix.txt
    [20/08/2004 10:37][--a------] C:\CONFIG.SYS
    [20/08/2004 10:37][--a------] C:\hiberfil.sys
    [20/08/2004 10:37][--a------] C:\IO.SYS
    [20/08/2004 10:37][--a------] C:\MSDOS.SYS
    [20/08/2004 10:37][--a------] C:\pagefile.sys

    --------------- [ Lecteur D ] ----------------

    D: - Lecteur fixe

    +- Listing des fichiers présents :

    [28/03/2007 15:50][-r-h-----] D:\NG Recovery Point Storage.ini

    --------------- [ Lecteur J ] ----------------

    J: - Lecteur amovible

    +- Listing des fichiers présents :

    [12/08/2008 18:29][--a------] J:\vlc-0.8.6i-win32.exe

    --------------- [ Registre / Startup ] ----------------

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    atwtusb REG_SZ atwtusb.exe beta
    AVP REG_SZ "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz REG_SZ nwiz.exe /install
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    Packard Bell Software Suite REG_SZ C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
    VeohPlugin REG_SZ "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

    --------------- [ Registre / Mountpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38fcb13c-1ab6-11dd-9126-001676d7720c}\Shell\AutoRun\command

    --------------- [ Nettoyage des disques ] ----------------

    --------------- [ Resumé ] ----------------

    -> /!\ Le resultat doit etre interprété par un spécialiste /!\

    [20/08/2004 10:37][--a------] C:\AUTOEXEC.BAT
    [05/08/2004 12:00][-rahs----] C:\NTDETECT.COM
    [29/06/2008 14:51][--a------] C:\bnupdate.exe
    [18/05/2008 18:00][-rahs----] C:\boot.ini
    [28/03/2007 15:50][-r-h-----] D:\NG Recovery Point Storage.ini
    [12/08/2008 18:29][--a------] J:\vlc-0.8.6i-win32.exe

    --------------- ! Fin du rapport ! ----------------
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      , branche sans les ouvrir avant de lancer ce FIX clé USB, disque dur externe, etc

      Télécharge Rav antivirus:http://ww25.evosla.com/compteur.php?soft=rav_antivirus

      • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau
      • Doucle clic sur >> RAV.exe << afin de lancer l'outil.
      • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
      • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain .
      • Retire tes disques amovibles et redémarre ton ordinateur .
      Poste le rapport , si infection!
      0
  14. toune30 Messages postés 79 Statut Membre
     
    Toujours rien , il me dit que ordi sain! je crois que je deviens folle, pourtant, sur karsperky, il existe bien ce trojan. C'est lui qui délire?
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      je voit sa avec les ancien et je te tient au courant a tout de suite
      0
      1. benurrr Messages postés 9766 Statut Contributeur sécurité 107 > benurrr Messages postés 9766 Statut Contributeur sécurité
         
        tu peut poster le rapport de ton antivirus stp
        0
  15. toune30 Messages postés 79 Statut Membre
     
    ok, je te remercie vraiment, ça m'embête pour toi que ce soit si compliqué et si long... d'ailleur, je m'interroge.. tu es sans cesse devant ton ordi ou tu as une veille?! parceque là, pour le suivi, je suis épatée! moi que j'y sois, c'est normal, c'est mon pb, mais toi, tu suis d'autres posts en même temps? en tous cas merci bcp.
    Ceci dit qd je compare à d'autres, pour l'instant mon pb n'entraine pas de dégats sérieux sur le PC, c'est juste que j'aimerai bien qu'il s'arrète de revenir ce backdoor! ...
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      c'esr rien

      on voudrait vérifier quelque chose sur ton rapport d'antivirus


      0
  16. toune30 Messages postés 79 Statut Membre
     
    C'est tt ce que j'ai. Comme il les supprime, il ne stocke que leur nom. Mais c'est le baackdoor qu'il supprime sans cesse et qui revient sans cesse.

    Infecté : cheval de Troie Backdoor.Win32.Rbot.rqg J:\Autorun.inf 280 octet(s)
    Infecté : logiciel publicitaire not-a-virus:AdWare.Win32.MegaSearch.aj C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP359\A0107088.dll 1,9 Mo
    Infecté : cheval de Troie Backdoor.Win32.Rbot.rqg J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe 27,5 Ko
    0
  17. toune30 Messages postés 79 Statut Membre
     
    Je dois partir, reviens dans 2 heures. Merci!
    0
  18. toune30 Messages postés 79 Statut Membre
     
    Suis revenue.
    Ce que j'ai mis suffit ou dois-je trouver un autre rapport?
    merci
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      on va commencer par nettoyer les fix qui ont servit

      Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
      http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

      Double clique sur ToolsCleaner2.exe >
      puis Recherche
      et sur Suppression
      Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

      CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
      Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

      Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

      tu poste le rapport générer après suppression
      0
  19. toune30 Messages postés 79 Statut Membre
     
    Je les ai tous supprimés toute à l'heure, soit par leur propres prg de désinstallation, soit par la déinstallation de windows. EDonc normalement, ce doit être ok de ce co^té là. Tu penses que je fais quand même toolscleaner ou inutile?
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      oui fait le il y'aura toujour quelque chose je pense
      0
  20. toune30 Messages postés 79 Statut Membre
     
    et oui, tu avais raison!
    -->- Recherche:

    C:\TB.txt: trouvé !
    C:\UsbFix.txt: trouvé !
    C:\Documents and Settings\internet\Bureau\hijackthis.log: trouvé !
    C:\Program Files\UsbFix: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\TB.txt: supprimé !
    C:\UsbFix.txt: supprimé !
    C:\Documents and Settings\internet\Bureau\hijackthis.log: supprimé !
    C:\Program Files\UsbFix: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      tu telecharge regseeker sur ton bureau http://www.commentcamarche.net/telecharger/telecharger 34055142 regseeker tu le dezippe sur ton bureau avec un clic droit tu fait extraire ici

      tu double clic sur le dossier regseeker qui a été générer et tu double clic sur regseeker.exe dans la fenêtre qui s'ouvre

      on haut a droite tu a langage tu le mais on français

      après a gauche tu a nettoyer le registre tu clic une fois

      tu vérifie que tout et cocher sauf service invalide

      et tu fait un clique sur nettoyage automatique

      reverifie que tout est cocher sauf élément vert

      et tu met 4 passe et tu appuie sur go

      des que ta fini sa tu fait signe on s'occupera de purger ta restauration système qui est infecter et on te créera un nouveau point de restauration propre
      0
  21. toune30 Messages postés 79 Statut Membre
     
    Là j'ai beau suivre tes indics, je cale...j'ai vérifier que tt cocher sauf service invalide, j'ai fait nettoyer. Et maintenant il affiche une liste de 728 fichiers ou chemin.-inexistants, obsloète...( Pourtant je fais souvent un nettoyage base registre (avec ccleaner))
    J'ai 4 boutons en bas dont selection/action/stop.
    Je fais quoi?
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      sélection --------)sélectionner tout--------)action---------)supprimer tout
      0
  • 1
  • 2