> Tous les forums > Forum Sécurité
 PC Infecté: cheval de troie
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
super_ramon
  Posté le 25/11/2010 @ 17:52 
Aller en bas de la page 
Nouvel astucien

Bonsoir!

AVG détecte sur mon PC toute une tripotée de trojan dans le dossier pacman\bspatch.

J'ai fait un Ad-Removal dont voici le log:

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 17:01:05 le 25/11/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Ramon@PCKIPUE ( )

============== RECHERCHE ==============


Dossier trouvé: C:\Program Files\DaemonTools_WhenUSave_Installer
Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Trymedia

-- Fichier ouvert: C:\Documents and Settings\Ramon\Application Data\Mozilla\FireFox\Profiles\itenjpgm.default\Prefs.js --
Ligne trouvée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne trouvée: user_pref("browser.search.defaultenginename", "Ask.com");
Ligne trouvée: user_pref("browser.search.order.1", "Ask.com");
-- Fichier Fermé --


Clé trouvée: HKLM\Software\Classes\Toolbar.CT2504091
Clé trouvée: HKLM\Software\Trymedia Systems
Clé trouvée: HKCU\Software\Conduit
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Documents and Settings\Ramon\Application Data\Mozilla\FireFox\Profiles\itenjpgm.default\Prefs.js --
browser.download.lastDir, F:\\Programmes
browser.search.defaultenginename, Ask.com
browser.startup.homepage, hxxp://www.google.fr/ig
browser.startup.homepage_override.mstone, rv:1.9.2.12
keyword.URL, hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 25/11/2010 (940 Octet(s))

Fin à: 17:01:35, 25/11/2010

============== E.O.F ==============

J'ai suivi la procédure et j'ai aussi scanné avec ZHPDiag dont voilà le log: http://www.cijoint.fr/cjlink.php?file=cj201011/cijJq5J10A.txt.

J'ai fait un scan avec MBAB hier soir, encore un log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5094

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

22/11/2010 18:41:51
mbam-log-2010-11-22 (18-41-51).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 215326
Temps écoulé: 1 heure(s), 4 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{C7BAAF13-28B1-4495-B1AE-4647D7F1F617}\RP211\A0136477.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C7BAAF13-28B1-4495-B1AE-4647D7F1F617}\RP211\A0136485.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


J'ai désinstallé AVG au passage qui causait plantage sur plantage. Bien sur AVG détecte le cheval de troie, le supprimait mais il revenait à chaque redémarrage.

Voilà. Je prendrai toute aide :)

Merci

Ramon

Publicité
daniellapin
 Posté le 25/11/2010 à 17:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

moment de grace
 Posté le 25/11/2010 à 18:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour

fais ceci stp

1)

relance Ad Remover

option NETTOYAGE

poste le rapport stp

..............

2)

ton zhp est inaccessible

=>

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message



Modifié par moment de grace le 25/11/2010 18:12
super_ramon
 Posté le 25/11/2010 à 18:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Ok. Alors voilà le log de Ad Remover:

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 18:38:17 le 25/11/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Ramon@PCKIPUE ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Documents and Settings\Ramon\Application Data\Mozilla\FireFox\Profiles\itenjpgm.default\Prefs.js --
browser.download.lastDir, F:\\Programmes
browser.startup.homepage, hxxp://www.google.fr/ig
browser.startup.homepage_override.mstone, rv:1.9.2.12
keyword.URL, hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 25/11/2010 (3299 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 25/11/2010 (480 Octet(s))
C:\Ad-Report-SCAN[1].txt - 25/11/2010 (3067 Octet(s))

Fin à: 18:39:12, 25/11/2010

============== E.O.F ==============

Puis pour le log ZHPDiag: http://cjoint.com/?0lzs4kRvp5r

J'espère que cette fois le lien est actif.

moment de grace
 Posté le 25/11/2010 à 19:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok

1)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

........

[MD5.3F96D51E925C8B936EB548F51EC83215] - (.Pas de propriétaire - Provides Internet Name Service.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe [4603392]

M2 - MFEP: prefs.js [Ramon - itenjpgm.default\fastdial@telega.phpnet.us] [fastdial] Fast Dial v2.23b2 (.telega.)

O23 - Service: (Windows Internet Name Service) . (.Pas de propriétaire - Provides Internet Name Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe

O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --

O64 - Services: CurCS - "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Windows Internet Name Service\wins.exe (.not file.) - Windows Internet Name Service (Windows Internet Name Service) .(.Pas de propriétaire - Pas de descript

.............

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

...................

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)

http://www.commentcamarche.net/download/telecharger-34055379-malwarebytes

. Enregistres le sur le bureau

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour

. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte

. Une fois la mise à jour terminé

. Rend-toi dans l'onglet, Recherche

. Sélectionnes Exécuter un examen complet (examen assez long)

. Cliques sur Rechercher

. Le scan démarre.

. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

. Cliques sur Ok pour poursuivre.

. Si des malwares ont été détectés, clique sur Afficher les résultats

. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.

. Rends toi dans l'onglet rapport/log

. Tu cliques dessus pour l'afficher, une fois affiché

. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous

. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse

. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ces tutoriels :

Aide: http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
52,99 €Routeur Mobile TP-Link M7350 (4G LTE, Wifi 2,4GHz ou 5GHz) à 52,99 €
Valable jusqu'au 23 Juin

Amazon fait une vente flash sur routeur Mobile TP-Link M7350 qui passe à 52,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 80 €.  Intégrant un modem 4G LTE, vous pouvez générer instanément un Hotspot Wi-Fi en insérant une carte SIM liée à un abonnement 4G dans l'appareil. Avec jusqu'à 150Mbps en téléchargement et 50Mbps en téléversement, le M7350 est capable de partager un signal 4G Wifi à près de 15 utilisateurs simultanément. Son format de poche et sa puissante batterie de 2000 mAh le rendent idéal comme compagnon de voyage, permettant aux utilisateurs de jouer ou travailler des heures.


> Voir l'offre
-5 € / -30 €5 € dès 29 €, 30 € dès 299 € chez Rakuten
Valable jusqu'au 22 Juin

Rakuten offre aujourd'hui 5 € de réduction dès 29 € d'achats sur son site avec le code RAKUTEN5 et 30 € de réduction dès 299 € d'achats avec le code RAKUTEN30.


> Voir l'offre
112,49 €Disque dur externe portable Seagate 5 To USB 3.0 + 2 ans Service Rescue à 112,49 €
Valable jusqu'au 23 Juin

Amazon propose actuellement le disque dur externe portable 2.5 pouces Seagate 5 To USB 3.0 à 112,49 €. On le trouve habituellement autour de 139 €. Il vous permet également de bénéficier pendant 2 ans du service Seagate Rescue Data Recovery qui comprend la récupération des données en cas de panne de disque dur, de virus, de défaillances logicielles et de tout autre problème entrainant la perte de données. Ce disque dur est compatible PC, Mac, XBox et PS4.


> Voir l'offre

Sujets relatifs
pc infecte par cheval de troie et autres
ordi infecté par cheval de troie
PC infecté par cheval de Troie reconnu par Avast !
pc infecté par cheval de troie et trojan
Infecté par un cheval de troie
infecté par un cheval de troie
Infecté par cheval de troie Downloader.Small60.AO
Infecté par cheval de troie
Infecté par virus, cheval de troie... HELP SVP!!!
comment supprimer Un cheval de troie ks/kryptyk.l
Plus de sujets relatifs à PC Infecté: cheval de troie
 > Tous les forums > Forum Sécurité