DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 24 Nov 2024 à 13:50 FAQ | Rechercher | Membres | Groupes

[Résolu] cheval de troie


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
puccinelle



Inscrit le: 05 Déc 2008
Messages: 12
Localisation: LORRAINE
MessagePosté le: 05 Déc 2008 à 21:25    Sujet du message: [Résolu] cheval de troie Répondre en citant
bonsoir, je ne suis pas très expérimenté alors je sollicite votre aide
je crois que mon pc est infecté par un cheval de troie

pouvez-vous me dire quoi faire ?

Merci d'avancee pour votre aide  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
joem
Modérateur


Inscrit le: 28 Jan 2006
Messages: 295
Localisation: a coté de trignac
MessagePosté le: 06 Déc 2008 à 17:16    Sujet du message: Répondre en citant
Bonjour puccinelle,

De quel anti virus dispose tu ?

- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

- Double clique sur HJTInstall.exe pour lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://www.sosordi.net/Article/125-6-installation-utilisation-hijackthis-avec-vista-windows
_________________
  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
puccinelle



Inscrit le: 05 Déc 2008
Messages: 12
Localisation: LORRAINE
MessagePosté le: 07 Déc 2008 à 13:02    Sujet du message: Répondre en citant
bonjour, merci pour ta réponse, voici le rapport

Log supprimé  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
joem
Modérateur


Inscrit le: 28 Jan 2006
Messages: 295
Localisation: a coté de trignac
MessagePosté le: 07 Déc 2008 à 20:15    Sujet du message: Répondre en citant
Bonsoir,

lvdlsa.exe semble être un trojan.
Mais on va attendre confirmation et plus d'aide de zaede.
_________________
  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
MessagePosté le: 08 Déc 2008 à 1:40    Sujet du message: Répondre en citant
Bonjour puccinelle, tu es bien infecté. On va te sortir de la


- Télécharge OTMoveIt (de Old_Timer) http://oldtimer.geekstogo.com/OTMoveIt3.exe Enregistre ce fichier sur le Bureau.

- Double-clique sur OTMoveIt3.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)

Citation:

:processes
explorer.exe
Boonty.exe

:services
Boonty Games

:Files
c:\program files\gamesbar
c:\windows\system32\lvdlsa.exe
C:\Program Files\Fichiers communs\BOONTY Shared

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB0D163C-E9F4-4236-9496-0597E24B23A5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CB0D163C-E9F4-4236-9496-0597E24B23A5}]
[-HKEY_CLASSES_ROOT\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6F282B65-56BF-4BD1-A8B2-A4449A05863D}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Update"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}]


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]


- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit


Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

- Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.

- Poste un nouveau log hijackthis


Bonjour joem, lvdlsa.exe est une infection de type SD

PS je connais bien le secteur de Trignac  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
mickael44
Administrateur


Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine
MessagePosté le: 08 Déc 2008 à 17:36    Sujet du message: Répondre en citant
zaede a écrit:

PS je connais bien le secteur de Trignac


Trop fort, je suis de Trignac P  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
MessagePosté le: 09 Déc 2008 à 0:50    Sujet du message: Répondre en citant
mickael44 a écrit:
zaede a écrit:

PS je connais bien le secteur de Trignac


Trop fort, je suis de Trignac P


Le monde est petit, je passe régulièrement quelques jours à st jo en été depuis 25ans environ  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
puccinelle



Inscrit le: 05 Déc 2008
Messages: 12
Localisation: LORRAINE
MessagePosté le: 09 Déc 2008 à 19:10    Sujet du message: Répondre en citant
bonjour, voici le rapport OTMovelt

========== PROCESSES ==========
Process explorer.exe killed successfully.
Unable to kill process: Boonty.exe
========== SERVICES/DRIVERS ==========
Service Boonty Games stopped successfully.
Service Boonty Games deleted successfully.
========== FILES ==========
c:\program files\GamesBar moved successfully.
File/Folder c:\windows\system32\lvdlsa.exe not found.
C:\Program Files\Fichiers communs\BOONTY Shared\Service moved successfully.
C:\Program Files\Fichiers communs\BOONTY Shared moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB0D163C-E9F4-4236-9496-0597E24B23A5}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CB0D163C-E9F4-4236-9496-0597E24B23A5}\\ deleted successfully.
Registry key HKEY_CLASSES_ROOT\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}\\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{6F282B65-56BF-4BD1-A8B2-A4449A05863D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Update deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}\\ not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_60c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12092008_180559

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_60c.dat moved successfully.

et voici le rapport hijack

Log supprimé


merci  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
MessagePosté le: 10 Déc 2008 à 1:32    Sujet du message: Répondre en citant
Bonjour puccinnelle, le dernier rapport est clean
Tu as encore des soucis?

- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
puccinelle



Inscrit le: 05 Déc 2008
Messages: 12
Localisation: LORRAINE
MessagePosté le: 16 Déc 2008 à 20:12    Sujet du message: Répondre en citant
bonsoir, voici le rapport du scan

Tuesday, December 16, 2008 7:09:07 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Log supprimé


apparement, il n'y a rien  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
MessagePosté le: 16 Déc 2008 à 22:44    Sujet du message: Répondre en citant
Bonjour puccinelle,

C'est propre
Tu as encore des soucis avec ce PC?  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
puccinelle



Inscrit le: 05 Déc 2008
Messages: 12
Localisation: LORRAINE
MessagePosté le: 17 Déc 2008 à 18:36    Sujet du message: Répondre en citant
Bonjour, ça a l'air d'aller mais dès que je lance une analyse avast, il se bloque et me détecte un processus malveillant, et il éteint le pc pour faire un scan au démarrage
je ne sais pas pourquoi  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
MessagePosté le: 17 Déc 2008 à 22:06    Sujet du message: Répondre en citant
Bonjour puccinelle, avast est champion des faux positifs

Je te conseillerais de le désinstaller et d'installer un véritable antivirus qui fait son travail comme il faut

http://www.malekal.com/tutorial_antivir.php

La bonne façon de faire:

Télécharge le désinstalleur d'avast et le nouvel antivirus avira antivir
Le lien est sur la page du tuto de configuration

Déconnecte le PC d'internet
Désinstalle avast avec ledésinstalleur
installe avira antivir
Redémarre le PC
Fait la mise à jour d'antivir puis un scan complet du PC en mode sans echec
Le scan, la mise à jour et la configuration sont expliqué par le tuto de malekal dans le lien plus haut

Poste le résultat d'antivir  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
puccinelle



Inscrit le: 05 Déc 2008
Messages: 12
Localisation: LORRAINE
MessagePosté le: 19 Déc 2008 à 23:36    Sujet du message: Répondre en citant
Bonsoir, j'ai suivi ton conseil, j'ai désinstallé avast et je l'ai remplacé par antivir, voici le rapport



Log supprimé

Dis-moi ce que tu en penses, merci  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est
MessagePosté le: 20 Déc 2008 à 0:35    Sujet du message: Répondre en citant
Bonjour puccinelle, pas de problème, otmoveit est l'outil de suppression de fichiers et les antivirus le détectent ce qui est logique vu l'action de l'outil

Citation:

C:\System Volume Information\_restore{D48032BB-B733-4232-997D-9562C8F43AFA}\RP521\A1329596.exe
[0] Type d'archive: RAR SFX (self extracting)
--> setup2.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.tdr
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.tdq
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '497f0e5b.qua' !


ça c'etait ton infection mais avira antivir a neutraliser les points de restaurations dans lequel le fichier infectieux était présent

Tu as encore des problèmes?  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum