Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
puccinelle
Inscrit le: 05 Déc 2008 Messages: 12 Localisation: LORRAINE
|
Posté le: 05 Déc 2008 à 21:25 Sujet du message: [Résolu] cheval de troie |
|
|
bonsoir, je ne suis pas très expérimenté alors je sollicite votre aide
je crois que mon pc est infecté par un cheval de troie
pouvez-vous me dire quoi faire ?
Merci d'avancee pour votre aide |
|
Revenir en haut de page |
|
|
joem Modérateur
Inscrit le: 28 Jan 2006 Messages: 295 Localisation: a coté de trignac
|
|
Revenir en haut de page |
|
|
puccinelle
Inscrit le: 05 Déc 2008 Messages: 12 Localisation: LORRAINE
|
Posté le: 07 Déc 2008 à 13:02 Sujet du message: |
|
|
bonjour, merci pour ta réponse, voici le rapport
Log supprimé |
|
Revenir en haut de page |
|
|
joem Modérateur
Inscrit le: 28 Jan 2006 Messages: 295 Localisation: a coté de trignac
|
Posté le: 07 Déc 2008 à 20:15 Sujet du message: |
|
|
Bonsoir,
lvdlsa.exe semble être un trojan.
Mais on va attendre confirmation et plus d'aide de zaede. _________________ |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 08 Déc 2008 à 1:40 Sujet du message: |
|
|
Bonjour puccinelle, tu es bien infecté. On va te sortir de la
- Télécharge OTMoveIt (de Old_Timer) http://oldtimer.geekstogo.com/OTMoveIt3.exe Enregistre ce fichier sur le Bureau.
- Double-clique sur OTMoveIt3.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)
Citation: |
:processes
explorer.exe
Boonty.exe
:services
Boonty Games
:Files
c:\program files\gamesbar
c:\windows\system32\lvdlsa.exe
C:\Program Files\Fichiers communs\BOONTY Shared
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB0D163C-E9F4-4236-9496-0597E24B23A5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CB0D163C-E9F4-4236-9496-0597E24B23A5}]
[-HKEY_CLASSES_ROOT\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6F282B65-56BF-4BD1-A8B2-A4449A05863D}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Update"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}]
:commands
[purity]
[emptytemp]
[start explorer]
[reboot] |
- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
- Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.
- Poste un nouveau log hijackthis
Bonjour joem, lvdlsa.exe est une infection de type SD
PS je connais bien le secteur de Trignac |
|
Revenir en haut de page |
|
|
mickael44 Administrateur
Inscrit le: 05 Juin 2005 Messages: 5837 Localisation: Rennes / Ille Et Vilaine
|
Posté le: 08 Déc 2008 à 17:36 Sujet du message: |
|
|
zaede a écrit: |
PS je connais bien le secteur de Trignac |
Trop fort, je suis de Trignac |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 09 Déc 2008 à 0:50 Sujet du message: |
|
|
mickael44 a écrit: |
zaede a écrit: |
PS je connais bien le secteur de Trignac |
Trop fort, je suis de Trignac |
Le monde est petit, je passe régulièrement quelques jours à st jo en été depuis 25ans environ |
|
Revenir en haut de page |
|
|
puccinelle
Inscrit le: 05 Déc 2008 Messages: 12 Localisation: LORRAINE
|
Posté le: 09 Déc 2008 à 19:10 Sujet du message: |
|
|
bonjour, voici le rapport OTMovelt
========== PROCESSES ==========
Process explorer.exe killed successfully.
Unable to kill process: Boonty.exe
========== SERVICES/DRIVERS ==========
Service Boonty Games stopped successfully.
Service Boonty Games deleted successfully.
========== FILES ==========
c:\program files\GamesBar moved successfully.
File/Folder c:\windows\system32\lvdlsa.exe not found.
C:\Program Files\Fichiers communs\BOONTY Shared\Service moved successfully.
C:\Program Files\Fichiers communs\BOONTY Shared moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB0D163C-E9F4-4236-9496-0597E24B23A5}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CB0D163C-E9F4-4236-9496-0597E24B23A5}\\ deleted successfully.
Registry key HKEY_CLASSES_ROOT\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}\\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{6F282B65-56BF-4BD1-A8B2-A4449A05863D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Update deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1A93C934-025B-4c3a-B38E-9654A7003239}\\ not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_60c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12092008_180559
Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_60c.dat moved successfully.
et voici le rapport hijack
Log supprimé
merci |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 10 Déc 2008 à 1:32 Sujet du message: |
|
|
Bonjour puccinnelle, le dernier rapport est clean
Tu as encore des soucis?
- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)
- En bas à droite clique sur Démarrer Online-scanner
- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
- Accepte les Contrôle ActiveX
- Choisis Poste de travail pour le scan.
- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport
- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. |
|
Revenir en haut de page |
|
|
puccinelle
Inscrit le: 05 Déc 2008 Messages: 12 Localisation: LORRAINE
|
Posté le: 16 Déc 2008 à 20:12 Sujet du message: |
|
|
bonsoir, voici le rapport du scan
Tuesday, December 16, 2008 7:09:07 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Log supprimé
apparement, il n'y a rien |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 16 Déc 2008 à 22:44 Sujet du message: |
|
|
Bonjour puccinelle,
C'est propre
Tu as encore des soucis avec ce PC? |
|
Revenir en haut de page |
|
|
puccinelle
Inscrit le: 05 Déc 2008 Messages: 12 Localisation: LORRAINE
|
Posté le: 17 Déc 2008 à 18:36 Sujet du message: |
|
|
Bonjour, ça a l'air d'aller mais dès que je lance une analyse avast, il se bloque et me détecte un processus malveillant, et il éteint le pc pour faire un scan au démarrage
je ne sais pas pourquoi |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 17 Déc 2008 à 22:06 Sujet du message: |
|
|
Bonjour puccinelle, avast est champion des faux positifs
Je te conseillerais de le désinstaller et d'installer un véritable antivirus qui fait son travail comme il faut
http://www.malekal.com/tutorial_antivir.php
La bonne façon de faire:
Télécharge le désinstalleur d'avast et le nouvel antivirus avira antivir
Le lien est sur la page du tuto de configuration
Déconnecte le PC d'internet
Désinstalle avast avec ledésinstalleur
installe avira antivir
Redémarre le PC
Fait la mise à jour d'antivir puis un scan complet du PC en mode sans echec
Le scan, la mise à jour et la configuration sont expliqué par le tuto de malekal dans le lien plus haut
Poste le résultat d'antivir |
|
Revenir en haut de page |
|
|
puccinelle
Inscrit le: 05 Déc 2008 Messages: 12 Localisation: LORRAINE
|
Posté le: 19 Déc 2008 à 23:36 Sujet du message: |
|
|
Bonsoir, j'ai suivi ton conseil, j'ai désinstallé avast et je l'ai remplacé par antivir, voici le rapport
Log supprimé
Dis-moi ce que tu en penses, merci |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 20 Déc 2008 à 0:35 Sujet du message: |
|
|
Bonjour puccinelle, pas de problème, otmoveit est l'outil de suppression de fichiers et les antivirus le détectent ce qui est logique vu l'action de l'outil
Citation: |
C:\System Volume Information\_restore{D48032BB-B733-4232-997D-9562C8F43AFA}\RP521\A1329596.exe
[0] Type d'archive: RAR SFX (self extracting)
--> setup2.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.tdr
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.tdq
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '497f0e5b.qua' ! |
ça c'etait ton infection mais avira antivir a neutraliser les points de restaurations dans lequel le fichier infectieux était présent
Tu as encore des problèmes? |
|
Revenir en haut de page |
|
|
Ajouter à :
|
|