impossible de supprimer ces trojans - Sécurité - Windows & Software
Marsh Posté le 18-06-2004 à 15:07:37
fais ton scan avec ta antivirus en mode sans echec. comme ca les trojan ne se chargeront pas au démarrage de ta bécane et ton antivirus pourra les supprimer.
Marsh Posté le 18-06-2004 à 15:30:36
au lieu de répondre ici la même chose que esnake007 tu ferais mieux de faire ton tutoriel sur Hjack This
ps : en plus je viens de remonter ton topic conjoint avec sanpellegrino
Marsh Posté le 18-06-2004 à 15:32:50
et puis ça serait cool de dire quels fichiers sont infecté et ou ils se trouvent.
et test avec http://security.symantec.com/sscv6 [...] &venid=sym
si tu arrive a les enlever.
Marsh Posté le 18-06-2004 à 15:34:46
minipouss a écrit : au lieu de répondre ici la même chose que esnake007 tu ferais mieux de faire ton tutoriel sur Hjack This |
ouah l'autre ! où je suis je bosse sur une machine où j'ai pas de droits et je veux un exemple concret pour hijackthis avec captures correctes et ici y a rien sur ces machines pour bosser les images... dimanche soir je le fait !
Marsh Posté le 18-06-2004 à 16:07:11
com21 a écrit : et puis ça serait cool de dire quels fichiers sont infecté et ou ils se trouvent. |
J' ai essayer mais il ne detecte rien !
Je vais tenter avec hijack this et je met le rapport en ligne des que c' est fais!
Marsh Posté le 18-06-2004 à 16:13:40
VOILA C EST FAIT
Logfile of HijackThis v1.97.7
Scan saved at 16:12:24, on 18/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\zoz\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - Startup: Digital Patrol Update.lnk = C:\Program Files\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 3293981481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
Marsh Posté le 18-06-2004 à 16:41:39
je vois rien de spécial à part deux choses :
je trouve bizarre que tu aies deux ieplorer.exe
idem pour les ctnotify pour la détection de cd de ta carte Creative.
Par contre je connais pas les différents progs et dll de Download Accelerator Plus
Marsh Posté le 20-06-2004 à 23:45:18
hum y a rien de louche effectivement...
Par contre t'as combien d'antivirus installés ? il semblerait qu'il y en a plusieurs !
en passant, vire ça : O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
Marsh Posté le 21-06-2004 à 11:35:29
Desactive la restauration automatique du systeme:
http://www.libellules.ch/desactiver_restauration.php
Passe un coup de a² en l'ayant mis A JOUR au préalable:
http://www.emsisoft.net/fr/software/download/
Marsh Posté le 21-06-2004 à 11:50:21
Trojan a écrit : Desactive la restauration automatique du systeme: |
+1
Marsh Posté le 21-06-2004 à 22:56:25
bon ben mois aussi j'y vais de mon petit probleme,
le plus drôle c'est que la page de démarrage arrive toujours sur un moteur de recherche en "about blank" avec une fenêtre qui me dit qu'il y a sûrement des spy sur mon pc et qui me propose tout un tas de lien pour acheter des "remèdes".
mon troyen s'appelle Trojan.Win32.Dasmin.B
et bien que j'ai deja fait un peu le ménage avec adaware, spybot, bitdefender, ravantivirus, norton, il s'accroche aux 2 endroits suivants:
C:\System Volume Information\_restore{F4A849A8-F284-4A32-AD4F-7D41CA1A1331}\RP165\A0019800.EXE
C:\WINDOWS\system32\REGCPM32.EXE
mais j'ai l'impression qu'à chaque fois que j'arrive sur la page parasite il en remet une couche ou alors je suis parano.
si vous avez un truc pour l'achever je suis preneur.
MERCI
Marsh Posté le 21-06-2004 à 23:02:44
ah j'ai eu la peau du premier au moment ou je postais donc maintenant reste encore
C:\WINDOWS\system32\REGCPM32.EXE
et je sais pas du tout ou le trouver
hhhhhhheeeeeeeeelllllllllppppppppp
Marsh Posté le 21-06-2004 à 23:05:37
désolé mais pour etre complet le scan me dit:
C:\WINDOWS\system32\REGCPM32.EXE->(Yoda's Crypt v1.2) - Trojan:Win32/Dasmin.B
c'est quoi (Yoda's Crypt v1.2) ?
je suis pas une flèche en info
Marsh Posté le 22-06-2004 à 13:38:29
oui mais comment je fais comme j'arrive pas à le trouver?
bon je suis pas sur mon pc avant ce soir donc je vous dirais à ce moment là si j'ai pu faire quelque chose.
merci
Marsh Posté le 22-06-2004 à 20:29:54
bon ben j'ai supprimé le fichier, j'ai refait un scan avec ravantivirus et un avec bitdefender qui me disent que tout est clean mais le probleme persiste:
page de démarrage imposée avec un popup pour vendre des antispy (sic)
donc là je sais pas trop quoi faire ???????
par contre spybot et adaware retrouve toujours les mêmes fichiers et valeurs, les suppriment mais ils reviennent.
Je dois avoir une brêche quelque part mais je crois aussi que le trojan a créé un fichier qui se planque et change de nom.
donc ?????????????
Marsh Posté le 22-06-2004 à 22:25:32
voilà j'ai trouvé 10 données de registre toutes en HKEY.... et adawre et spybot n'arrive pas à les supprimer, en tout cas le probleme est bien là puisqu'ils me disent risque moyen et redirection du navigateur.
est-ce que je peut supprimer ces valeurs manuellement sans danger pour mon systeme si j'arrive à les retrouver?
MERCI
Marsh Posté le 27-10-2004 à 07:48:33
TrojanDownloader.Win32.Alchemic
TrojanDownloader.Win32.Agent.ae
TrojanSpy.Win32.Briss.c
se cachent dans win/system ou wwin/system32, ils infectent des fichiers qui sont utilises par windows, alors les supprimer manuellement ou avec antiv ca sert a rien.
ce qu'il faut ce touve l'origine de la page qui s'ouvert ,puis supprimer la valeur de la base de registre mais d'abord il faut mettre votre ord en mode sans echec pour eviter la reproduction de ces parasites.
--------------------------------------------------------
parfois des fichiers d'IE sont infectes ils sont la cause de la rederiction , il vaut mieux desinstaller IE puis l'installer de nouveau.
des Q contacter snow2002fr@yahoo.fr
Marsh Posté le 18-06-2004 à 14:57:14
Bonour a tous!
Est ce que quelqu' un parmi vous a deja eu ces trojans et avez vous une solution pour les viré?
TrojanDownloader.Win32.Alchemic
TrojanDownloader.Win32.Agent.ae
TrojanSpy.Win32.Briss.c
J' ai kaspersky anti virus mais il n' arrive pas desinfecter.
Merci d' avance!