Trojan Proxy-Mitglieder
boom -
J'ai été attaqué par le cheval de troie suivant : Proxy-Mitglieder
Je l'ai repéré avec Virus Scan de McAfee, mais
49 réponses
- 1
- 2
- 3
Plusieurs utilisateurs signalent avoir été frappés par un cheval de Troie nommé Proxy-Mitglieder qui modifie la page de démarrage et les pages de recherche d'Internet Explorer, repéré par McAfee VirusScan. Pour y remédier, plusieurs réponses préconisent HijackThis pour identifier et supprimer les entrées malveillantes, redémarrer en mode sans échec et enlever les éléments modifiant les pages Start Page et Search Page dans le registre. Les éléments ciblés incluent des entrées IE (R1/R0), des clés Run, des composants d'IE et des BHO, et certains préconisent d'exporter puis supprimer la branche avant une remise en service.
-
Salut à tous
J'ai été attaqué par le cheval de troie suivant : Proxy-Mitglieder
Je l'ai repéré avec Virus Scan de McAfee, mais IMPOSSIBLE de le supprimer.
Que dois-je faire?
merci d'avance -
salut
tente un scan avec ton anti virus en mode sans echec
la chasse et le balltrap ma vrai passion
voir site perso dans profil -
ok
mais je nesais pas comment faire pour 1 scan en mode sans echec
merci
je vais aller faire 1 tour sur ton site -
salut
redemarre en mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal
la tu fait un scan avec ton anti virus
la chasse et le balltrap ma vrai passion
voir site perso dans profil -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
J'ai redamarré en mode sans echec et j'ai lancé mon antivirus qui a trouvé : 1 programme douteux en plus du trojan Proxy-Mitglieder
Mais là aussi impossible de les nettoyer, les supprimer oules mettre en quarantaine.
J'ai aussi lancé Spybot qui m'a détécté et corrigé des spywares
mais j'ai toujours le même pb : IMPOSSIBLE DE SUPPRIMER CE CHEVAL DE TROIE!!! GRRR!!
QQUN AURAIT UNE SOLUTION? -
re
donne nous le chemin que te donne ton av
la chasse et le balltrap ma vrai passion
voir site perso dans profil -
-
Salut jess15 et tous ceux qui pourrait m'aider,
Il y a du nouveau :
1.Spybot S.D m'a détecté des erreurs qu'il supprime mais elles reviennent à chaque fois.
2. virus scan ne detecte plus de virus.
J'ai alors cru à la suppresion du virus qui m'affiche une page de demarrage à mon insu (de mon plein gré c.f l'autre)lol
Mais non j'ai toujours le pb même si spybot le supprime pour qq instants.
Voici mes données :
je suis sous windows ME
le rapport de spybot après suppression :
_____________________________DSO Exploit: Data source object exploit (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
Common hijacker: Prefix change (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http://
Common hijacker: Prefix change (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http://
Spex: R‚glages (Cl‚ du registre, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}
Spex: Class ID (Cl‚ du registre, fixed)
HKEY_CLASSES_ROOT\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}
Spex: Class ID (Cl‚ du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}
Spex: R‚glages (Cl‚ du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\{237AA178-C3BC-4f67-A8BB-D8BC14BA0B89}
--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-08-20 Includes\Dialer.sbi
2004-08-20 Includes\Hijackers.sbi
2004-08-20 Includes\Keyloggers.sbi
2004-08-20 Includes\Malware.sbi
2004-08-12 Includes\Revision.sbi
2004-08-11 Includes\Security.sbi
2004-08-20 Includes\Spybots.sbi
2004-08-20 Includes\Trojans.sbi
2004-05-12 Includes\LSP.sbi
2004-08-12 Includes\Tracks.uti____________________ -
Essaye de redémarrer en mode sans echec avec norton antivirus
ou kaspersky ils sont plus performant -
ok mais je l'ai déjà fait avec virus scan et ca n'a rien donné.
Je n'ai aucun des 2 AV que tu me conseille
Je gère la crise avec spybot mais le pb recurrent
merci qd même
je suis tj à l'écoute d'un solution
a+ -
hello
qqun aurait un conseil
La page de démarrage revient et si je re-paramètre mes options internet ca fonctionne à nouveau, mais je ne suis pas à l'abri d'1 nouveau changement -
salut
Hijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe
http://pageperso.aol.fr/Balltrap34/HijackThis.exe
Fais scan puis save log et colle le contenu du fichier texte qui s'affiche
la chasse et le balltrap ma vrai passion
voir site perso dans profil -
-
salut jess
elle est pas fini je repart demain matin
la chasse et le balltrap ma vrai passion
voir site perso dans profil -
-
merci
a++
la chasse et le balltrap ma vrai passion
voir site perso dans profil -
Salut,
D'abord je tenais à vous remercier de votre aide , voici le scan de HijackThis :
Logfile of HijackThis v1.98.2
Scan saved at 11:46:56, on 27/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXE
C:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXE
C:\UTILISATION COURANTE\FONCTIONNEMENT ORDI\HIJACKTHIS ANTI VIRUS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAM FILES\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAM FILES\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [\Pribi.exe] C:\WINDOWS\ALLUSE~1\APPLIC~1\PRIBI\Pribi.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {05E04C82-A328-47C0-B4C7-660B3FF0B195} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24ef8726a3a3baa31518/netzip/RdxIE601_fr.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exe
O16 - DPF: {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - -
salut
relance hijack en mode sans echec coche et fix ces lignes
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=14&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=14&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=14&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=14&q=
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\jobwvdwe.exe
on dirait qu il manque la fin du rapport
la chasse et le balltrap ma vrai passion
voir site perso dans profil -
oui j'ai supprimé des lignes qui concernaient ma e-carte bleue
le forum étant ouvert à tous...
Bien que je ne sache pas si ces infos étaient utilisables.
Bon je vais suivre tes conseils et te tiens au courant
a+ -
re
si tu nas masquer que ces lignes ok
la chasse et le balltrap ma vrai passion
voir site perso dans profil
- 1
- 2
- 3