Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1592 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Trojan :: Suppression svp

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Trojan :: Suppression svp

n°2168503
Profil sup​primé
Posté le 23-09-2005 à 19:44:49  answer
 

Bonjour,
 
Je viens de me reprendre un trojan.
J'ai déjà localisé les fichiers mais ils me prennent du CPU, ils n'ont pas de contact avec le web ( Kerio  :love: ).
 
J'ai Avast mais c'est une merde sur pattes. A ma première infection par ce trojan, Kaspersky n'avait fait que empirer la chose, il avait très mal nettoyé.
 
Vous avez pas un nettoyage propre face a ce trojan ?
 
Ligne de HiJackThis qui m'a fait repéré ce trojan :
 
C:\WINDOWS\services.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
 
 
Merci,
 
RaSk


Message édité par Krapaud le 24-09-2005 à 10:50:37
mood
Publicité
Posté le 23-09-2005 à 19:44:49  profilanswer
 

n°2168519
Profil sup​primé
Posté le 23-09-2005 à 19:56:12  answer
 

Bon je vais faire a la bonne vieille méthode.
 
Je re dans 10mn et je vous dis si ca va mieu.

n°2168534
Profil sup​primé
Posté le 23-09-2005 à 20:04:03  answer
 

Up

n°2168558
acrobaze
Posté le 23-09-2005 à 20:20:55  profilanswer
 

Oui, mais c'est compliqué....

n°2168561
Profil sup​primé
Posté le 23-09-2005 à 20:24:50  answer
 

Bof.
 
Je dois retourcher le regedit ( Shell = explorer.exe et non avec fservice.exe ), msconfig pour le supprimer du boot de Windoz, et le supprimer tout ca en Sans Echec.
 
Tu penses que ca passeras ?

n°2168633
Profil sup​primé
Posté le 23-09-2005 à 21:31:30  answer
 

Hmm il veut pas sortir.
 
Problèmes : Je ne le localise plus, fservice & services ont disparus mais toujours actif ( Ctrl + Alt + Sup ).

n°2168635
acrobaze
Posté le 23-09-2005 à 21:32:00  profilanswer
 

Il y a des fichiers que l'on ne voit pas avec HijackThis avec cette infection...

n°2168646
Profil sup​primé
Posté le 23-09-2005 à 21:40:24  answer
 

Je vois meme pas le dossier System32 ...
Je suis obligé de rentrer a la main C:\Windows\System32\

n°2168659
Profil sup​primé
Posté le 23-09-2005 à 21:46:04  answer
 

A part le format vous proposez quoi ?

n°2168672
Tounet
I love apples
Posté le 23-09-2005 à 21:56:42  profilanswer
 

c'est lui non ?
 
http://securityresponse.symantec.c [...] rorat.html


---------------
Les hommes n'acceptent le changement que dans la nécessité et ils ne voient la nécessité que dans la crise.
mood
Publicité
Posté le 23-09-2005 à 21:56:42  profilanswer
 

n°2168696
acrobaze
Posté le 23-09-2005 à 22:07:14  profilanswer
 

Première étape :
 
1- Télécharge Dellater. et dézippe-le dans le dossier windows\system32.
 
 
Télécharge Windows-XP-Prefetch-Clean-And-Control.exe.
 
2- Redémarre en mode sans échec.
 
- Lance le programme "...prefetch ..".
- Tu as un écran "first time", clique "OK".
- Coche le bouton "Recommended".
- Clique "Set Prefetch Parameters"
- Clique "Clean Prefetch Folder Now"
 
3- Start->run
Tape :       Dellater.exe c:\windows\system32\fservice.exe  
(espace entre exe et c !)
Tu auras un popup :  
"File Marked for Deletion After Reboot
c:\windows\system32\fservice.exe"
 
Refais pareil avec :
Dellater.exe c:\windows\system\sservice.exe
Dellater.exe c:\windows\system32\wininv.dll
Dellater.exe c:\windows\system32\winkey.dll
Dellater.exe c:\windows\winlogon.exe
 
4- Redémarre de nouveau en mode sans échec.
Il doit y avoir un message "Fichier introuvable..etc.."
 
Lance HijackThis et coche si présent :
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
 
 
La suite au prochain numéro...
 
J'ai édité...en mettant en gras, il n'y avait plus de : \  :heink:


Message édité par acrobaze le 23-09-2005 à 22:16:00
n°2168830
Profil sup​primé
Posté le 23-09-2005 à 23:55:00  answer
 

Je dis chapeau  :jap:  
 
Une question : Que fait exactement ce Prefetch ?

n°2168835
wawaseb
Posté le 23-09-2005 à 23:58:42  profilanswer
 

Cher Acrobaze,
 
J'apprécie beaucoup la précision de tes interventions...
Toutefois, je ne comprends pas toujours pourquoi tu préconises tel ou tel outil... Ici en l'occurence, je ne vois pas très bien en quoi "Dellater" diffère de "PocketKillBox" ou de "MoveOnBoot"...
 
Bien à toi, bravo et Merci !

n°2169009
acrobaze
Posté le 24-09-2005 à 10:35:30  profilanswer
 

Seconde étape :
 
5- Toujours en sans échec :
- Ouvrir le bloc-notes
- Copier/coller ceci:
 

Citation :

REGEDIT4
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}]


 
- Cliquer "Fichier"->"Enregistrer sous"->"Fichier"->"Tous les fichiers"
- L'appeler par ex : fix.reg
 
- Double cliquer "Fix.reg" et approuver la fusion.
 
 
6- Redémarrer en mode normal. Lancer HijackThis et cocher de nouveau la ligne F2 si elle est revenue.
 
Démarrer->exécuter->taper:   regedit
Aller à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
 
Il ne doit pas y avoir de sous clé : 'explorer'.
 
Enfin, vérifier que les fichiers supprimés sont réellement absents.
 
7- Poster un nouvel HijackThis.


Message édité par acrobaze le 24-09-2005 à 10:36:05
n°2169026
Profil sup​primé
Posté le 24-09-2005 à 10:56:29  answer
 

Je fais comment pour voir si ils sont absents ?
Sachant que je n'arrive même pas a voir le dossier System32 ?

n°2169143
acrobaze
Posté le 24-09-2005 à 12:57:49  profilanswer
 

Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

n°2169154
Profil sup​primé
Posté le 24-09-2005 à 13:10:01  answer
 

acrobaze a écrit :

Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)


 
 
Il fallait décocher "Masquer les fichiers protégers ..."
 
Services.exe est toujours la.
Winlogon.exe est aussi toujours la.
 
Tous le reste plus de traces.
 
Je n'ai pas encore fait ta dernère manip.

n°2169228
Profil sup​primé
Posté le 24-09-2005 à 14:55:44  answer
 

up

n°2169298
acrobaze
Posté le 24-09-2005 à 16:20:35  profilanswer
 

Mwouais...d'abord il n'a jms été question du fichier : Services.exe ...tu le vois dans ce que j'ai écrit ? Non, alors ne t'en occupe pas.
 
Ensuite, fais très attention...il s'agit de  c:\windows\winlogon.exe , et non pas de c:\windows\system32\winlogon.exe.
 
Enfin, ça ne sert à rien de faire des "up"...fais ce qui est indiqué...n'invente surtout RIEN....et poste ton log HijackThis.

n°2169342
Profil sup​primé
Posté le 24-09-2005 à 17:10:56  answer
 

Logfile of HijackThis v1.99.1
Scan saved at 17:10:10, on 24/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\NetAppel\NetAppel.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\RaSk LEET\Mes documents\HiJack\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\RaSk LEET\Application Data\Mozilla\Profiles\default\jvn8o4s9.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TDS2-98] C:\WINDOWS\OuZwASFdxrqO.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NetAppel] "C:\Program Files\NetAppel\NetAppel.exe" -nosplash -minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32BBF9DF-7B5F-427F-9365-8721E282FB63}: NameServer = 217.19.192.132,217.19.192.131
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 
 
 
Voila

n°2169354
acrobaze
Posté le 24-09-2005 à 17:20:32  profilanswer
 

Ok. Tous ces fichiers sont bien absents ?
 
c:\windows\system32\fservice.exe  
c:\windows\system\sservice.exe  
c:\windows\system32\wininv.dll  
c:\windows\system32\winkey.dll  
c:\windows\winlogon.exe  
 
(Noms exacts, exactement ds les dossiers indiqués.)
 
 
Pour finir, tu pourrais lancer Panda online.
Copier son rapport final et le copier/coller ici.
 

n°2169359
Profil sup​primé
Posté le 24-09-2005 à 17:28:40  answer
 

Ok.
 
Ca reste bloqué a 100% de ActiveScan has started.
 
[EDIT] Je dois partir pour plusieurs heures ... J'ai fermé la fenêtre ca fait 10mn que ca reste bloqué.
 
Si le scan en ligne c'est pour supprimer le fichier qui m'ai installé le trojan je viens de le retrouver.


Message édité par Profil supprimé le 24-09-2005 à 17:36:20
n°2169845
Profil sup​primé
Posté le 25-09-2005 à 10:30:31  answer
 

Y a t'il une 3e partie ?
 
Sinon tous ces fichiers sont bien absents.

n°2170051
acrobaze
Posté le 25-09-2005 à 13:59:41  profilanswer
 

Non, c'est tout.
 
Si Panda ne fonctionne toujours pas, tente celui-ci:
http://www.bitdefender.com/scan8/ie.html

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Trojan :: Suppression svp

 

Sujets relatifs
Y'a un trojan ou pas ???trojan horse Dropper generic.FA
Ajout/suppression de programmes: bug incompréhensible!Help!meilleur logiciel anti trojan selon vous?
Problème de suppression de dossierTrojan superspider et super resistant
trojan cachecachekit??suppression downloader.trojan
suppression downloader.trojanErreur Rundll suite à la suppression d'un trojan
Plus de sujets relatifs à : Trojan :: Suppression svp


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR