impossible de supprimer ces trojans

impossible de supprimer ces trojans - Sécurité - Windows & Software

Marsh Posté le 18-06-2004 à 14:57:14    

Bonour a tous!  
Est ce que quelqu' un parmi vous a deja eu ces trojans et avez vous une solution pour les viré?  
 
TrojanDownloader.Win32.Alchemic  
TrojanDownloader.Win32.Agent.ae  
TrojanSpy.Win32.Briss.c  
 
J' ai kaspersky anti virus mais il n' arrive pas desinfecter.  
 
Merci d' avance!

Reply

Marsh Posté le 18-06-2004 à 14:57:14   

Reply

Marsh Posté le 18-06-2004 à 15:07:37    

fais ton scan avec ta antivirus en mode sans echec. comme ca les trojan ne se chargeront pas au démarrage de ta bécane et ton antivirus pourra les supprimer.

Reply

Marsh Posté le 18-06-2004 à 15:27:39    

+1 ils sont lancés en tant que service ou alors actifs sous windows, ton antivirus ne pouras pas les tuer...


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 18-06-2004 à 15:30:36    

au lieu de répondre ici la même chose que esnake007 tu ferais mieux de faire ton tutoriel sur Hjack This :o
 
ps : en plus je viens de remonter ton topic conjoint avec sanpellegrino [:ddr555]


Message édité par minipouss le 18-06-2004 à 15:32:01
Reply

Marsh Posté le 18-06-2004 à 15:32:50    

et puis ça serait cool de dire quels fichiers sont infecté et ou ils se trouvent.
 
et test avec http://security.symantec.com/sscv6 [...] &venid=sym  
si tu arrive a les enlever.


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 18-06-2004 à 15:34:46    

minipouss a écrit :

au lieu de répondre ici la même chose que esnake007 tu ferais mieux de faire ton tutoriel sur Hjack This :o
 
ps : en plus je viens de remonter ton topic conjoint avec sanpellegrino [:ddr555]


 
ouah l'autre ! où je suis je bosse sur une machine où j'ai pas de droits et je veux un exemple concret pour hijackthis avec captures correctes et ici y a rien sur ces machines pour bosser les images... dimanche soir je le fait ! [:airforceone]


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 18-06-2004 à 16:07:11    

com21 a écrit :

et puis ça serait cool de dire quels fichiers sont infecté et ou ils se trouvent.
 
et test avec http://security.symantec.com/sscv6 [...] &venid=sym  
si tu arrive a les enlever.


 
J' ai essayer mais il ne detecte rien !
 
Je vais tenter avec hijack this et je met le rapport en ligne des que c' est fais!

Reply

Marsh Posté le 18-06-2004 à 16:13:40    

VOILA C EST FAIT  
 
Logfile of HijackThis v1.97.7
Scan saved at 16:12:24, on 18/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\zoz\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - Startup: Digital Patrol Update.lnk = C:\Program Files\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 3293981481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
 

Reply

Marsh Posté le 18-06-2004 à 16:41:39    

je vois rien de spécial à part deux choses :
 
je trouve bizarre que tu aies deux ieplorer.exe
 
idem pour les ctnotify pour la détection de cd de ta carte Creative.
 
Par contre je connais pas les différents progs et dll de Download Accelerator Plus

Reply

Marsh Posté le 20-06-2004 à 23:45:18    

hum y a rien de louche effectivement...
 
Par contre t'as combien d'antivirus installés ? il semblerait qu'il y en a plusieurs !
 
en passant, vire ça : O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)

Reply

Marsh Posté le 20-06-2004 à 23:45:18   

Reply

Marsh Posté le 21-06-2004 à 11:35:29    

Desactive la restauration automatique du systeme:
http://www.libellules.ch/desactiver_restauration.php
 
Passe un coup de a² en l'ayant mis A JOUR au préalable:
http://www.emsisoft.net/fr/software/download/

Reply

Marsh Posté le 21-06-2004 à 11:50:21    

Trojan a écrit :

Desactive la restauration automatique du systeme:
http://www.libellules.ch/desactiver_restauration.php


 
+1 :jap:


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 21-06-2004 à 22:56:25    

bon ben mois aussi j'y vais de mon petit probleme,  
le plus drôle c'est que la page de démarrage arrive toujours sur un moteur de recherche en "about blank" avec une fenêtre qui me dit qu'il y a sûrement des spy sur mon pc et qui me propose tout un tas de lien pour acheter des "remèdes".
 
mon troyen s'appelle Trojan.Win32.Dasmin.B  
 
et bien que j'ai deja fait un peu le ménage avec adaware, spybot, bitdefender, ravantivirus, norton, il s'accroche aux 2 endroits suivants:
 
C:\System Volume Information\_restore{F4A849A8-F284-4A32-AD4F-7D41CA1A1331}\RP165\A0019800.EXE
 
C:\WINDOWS\system32\REGCPM32.EXE
 
mais j'ai l'impression qu'à chaque fois que j'arrive sur la page parasite il en remet une couche ou alors je suis parano.
 
si vous avez un truc pour l'achever je suis preneur.
MERCI

Reply

Marsh Posté le 21-06-2004 à 23:02:44    

ah j'ai eu la peau du premier au moment ou je postais donc maintenant reste encore  
 
C:\WINDOWS\system32\REGCPM32.EXE
 
et je sais pas du tout ou le trouver
hhhhhhheeeeeeeeelllllllllppppppppp

Reply

Marsh Posté le 21-06-2004 à 23:05:37    

désolé mais pour etre complet le scan me dit:
 
C:\WINDOWS\system32\REGCPM32.EXE->(Yoda's Crypt v1.2) - Trojan:Win32/Dasmin.B
 
c'est quoi (Yoda's Crypt v1.2) ?
 
je suis pas une flèche en info

Reply

Marsh Posté le 22-06-2004 à 08:21:43    

aucune idée mais vire le fichier ! t'as désactivé la restauration système ?


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 22-06-2004 à 13:38:29    

oui mais comment je fais comme j'arrive pas à le trouver?
 
bon je suis pas sur mon pc avant ce soir donc je vous dirais à ce moment là si j'ai pu faire quelque chose.
merci
 

Reply

Marsh Posté le 22-06-2004 à 14:28:54    

Les fichiers cachés sont visible ou pas ? c'est peut être pour ça aussi ...


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 22-06-2004 à 20:29:54    

bon ben j'ai supprimé le fichier, j'ai refait un scan avec ravantivirus et un avec bitdefender qui me disent que tout est clean mais le probleme persiste:
page de démarrage imposée avec un popup pour vendre des antispy (sic)
 
donc là je sais pas trop quoi faire ???????
 
par contre spybot et adaware retrouve toujours les mêmes fichiers et valeurs, les suppriment mais ils reviennent.
Je dois avoir une brêche quelque part mais je crois aussi que le trojan a créé un fichier qui se planque et change de nom.
donc ?????????????

Reply

Marsh Posté le 22-06-2004 à 22:25:32    

voilà j'ai trouvé 10 données de registre toutes en HKEY.... et adawre et spybot n'arrive pas à les supprimer, en tout cas le probleme est bien là puisqu'ils me disent risque moyen et redirection du navigateur.
 
est-ce que je peut supprimer ces valeurs manuellement sans danger pour mon systeme si j'arrive à les retrouver?
 
MERCI

Reply

Marsh Posté le 27-10-2004 à 07:48:33    

TrojanDownloader.Win32.Alchemic    
TrojanDownloader.Win32.Agent.ae    
TrojanSpy.Win32.Briss.c  
se cachent dans win/system ou wwin/system32, ils infectent des fichiers qui sont utilises par windows, alors les supprimer manuellement ou avec antiv ca sert a rien.
ce qu'il faut ce touve l'origine de la page qui s'ouvert ,puis supprimer la valeur de la base de registre mais d'abord il faut mettre votre ord en mode sans echec pour eviter la reproduction de ces parasites.
--------------------------------------------------------
parfois des fichiers d'IE  sont infectes ils sont la cause de la rederiction , il vaut mieux desinstaller IE puis l'installer de nouveau.
des Q contacter snow2002fr@yahoo.fr

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed