Trojan Proxy-Mitglieder

Cassius -  
 boom -
Salut à tous

J'ai été attaqué par le cheval de troie suivant : Proxy-Mitglieder
Je l'ai repéré avec Virus Scan de McAfee, mais

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs utilisateurs signalent avoir été frappés par un cheval de Troie nommé Proxy-Mitglieder qui modifie la page de démarrage et les pages de recherche d'Internet Explorer, repéré par McAfee VirusScan. Pour y remédier, plusieurs réponses préconisent HijackThis pour identifier et supprimer les entrées malveillantes, redémarrer en mode sans échec et enlever les éléments modifiant les pages Start Page et Search Page dans le registre. Les éléments ciblés incluent des entrées IE (R1/R0), des clés Run, des composants d'IE et des BHO, et certains préconisent d'exporter puis supprimer la branche avant une remise en service.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. cassius
     
    Salut à tous

    J'ai été attaqué par le cheval de troie suivant : Proxy-Mitglieder
    Je l'ai repéré avec Virus Scan de McAfee, mais IMPOSSIBLE de le supprimer.
    Que dois-je faire?
    merci d'avance
    0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    tente un scan avec ton anti virus en mode sans echec

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  3. cassius
     
    ok
    mais je nesais pas comment faire pour 1 scan en mode sans echec
    merci

    je vais aller faire 1 tour sur ton site
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    redemarre en mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal
    la tu fait un scan avec ton anti virus

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cassius
     
    J'ai redamarré en mode sans echec et j'ai lancé mon antivirus qui a trouvé : 1 programme douteux en plus du trojan Proxy-Mitglieder
    Mais là aussi impossible de les nettoyer, les supprimer oules mettre en quarantaine.
    J'ai aussi lancé Spybot qui m'a détécté et corrigé des spywares
    mais j'ai toujours le même pb : IMPOSSIBLE DE SUPPRIMER CE CHEVAL DE TROIE!!! GRRR!!
    QQUN AURAIT UNE SOLUTION?
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    donne nous le chemin que te donne ton av

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  8. Utilisateur anonyme
     
    et c quoi ton system d'exploitation ( xp , win 2000....ect ) ???
    @++++
    0
  9. cassius
     
    Salut jess15 et tous ceux qui pourrait m'aider,

    Il y a du nouveau :

    1.Spybot S.D m'a détecté des erreurs qu'il supprime mais elles reviennent à chaque fois.
    2. virus scan ne detecte plus de virus.

    J'ai alors cru à la suppresion du virus qui m'affiche une page de demarrage à mon insu (de mon plein gré c.f l'autre)lol
    Mais non j'ai toujours le pb même si spybot le supprime pour qq instants.

    Voici mes données :

    je suis sous windows ME
    le rapport de spybot après suppression :

    _____________________________DSO Exploit: Data source object exploit (Modification du registre, fixed)
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    Common hijacker: Prefix change (Modification du registre, fixed)
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http://

    Common hijacker: Prefix change (Modification du registre, fixed)
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http://

    Spex: R‚glages (Cl‚ du registre, fixed)
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

    Spex: Class ID (Cl‚ du registre, fixed)
    HKEY_CLASSES_ROOT\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

    Spex: Class ID (Cl‚ du registre, fixed)
    HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

    Spex: R‚glages (Cl‚ du registre, fixed)
    HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}

    --- Spybot - Search && Destroy version: 1.3 ---
    2004-08-11 Includes\Cookies.sbi
    2004-08-20 Includes\Dialer.sbi
    2004-08-20 Includes\Hijackers.sbi
    2004-08-20 Includes\Keyloggers.sbi
    2004-08-20 Includes\Malware.sbi
    2004-08-12 Includes\Revision.sbi
    2004-08-11 Includes\Security.sbi
    2004-08-20 Includes\Spybots.sbi
    2004-08-20 Includes\Trojans.sbi
    2004-05-12 Includes\LSP.sbi
    2004-08-12 Includes\Tracks.uti____________________
    0
  10. Niouws Messages postés 815 Statut Membre 105
     
    Essaye de redémarrer en mode sans echec avec norton antivirus
    ou kaspersky ils sont plus performant
    0
  11. cassius
     
    ok mais je l'ai déjà fait avec virus scan et ca n'a rien donné.
    Je n'ai aucun des 2 AV que tu me conseille
    Je gère la crise avec spybot mais le pb recurrent

    merci qd même
    je suis tj à l'écoute d'un solution
    a+
    0
  12. cassius
     
    hello

    qqun aurait un conseil
    La page de démarrage revient et si je re-paramètre mes options internet ca fonctionne à nouveau, mais je ne suis pas à l'abri d'1 nouveau changement
    0
  13. Utilisateur anonyme
     
    salut balltrap :-) ta semaine c'est bien passé ?
    @++++
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut jess
    elle est pas fini je repart demain matin

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  15. Utilisateur anonyme
     
    re.. alors je te souhaite bon courage et bonne route :-)
    @++++
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    merci
    a++

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  17. cassius
     
    Salut,

    D'abord je tenais à vous remercier de votre aide , voici le scan de HijackThis :

    Logfile of HijackThis v1.98.2
    Scan saved at 11:46:56, on 27/08/2004
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SSDPSRV.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
    C:\WINDOWS\RunDLL.exe
    C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
    C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
    C:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXE
    C:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXE
    C:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\HIJACKTHIS ANTI VIRUS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
    O4 - HKLM\..\Run: [autoclk] autoclk.exe
    O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
    O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
    O4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICE
    O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [\Pribi.exe] C:\WINDOWS\ALLUSE~1\APPLIC~1\PRIBI\Pribi.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
    O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
    O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
    O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
    O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
    O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
    O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
    O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
    O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cab
    O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exe
    O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} -
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    relance hijack en mode sans echec coche et fix ces lignes
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
    O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
    O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
    O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exe

    on dirait qu il manque la fin du rapport

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  19. cassius
     
    oui j'ai supprimé des lignes qui concernaient ma e-carte bleue
    le forum étant ouvert à tous...
    Bien que je ne sache pas si ces infos étaient utilisables.
    Bon je vais suivre tes conseils et te tiens au courant
    a+
    0
  20. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    si tu nas masquer que ces lignes ok

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  • 1
  • 2
  • 3