virus trojan dans mon pcFermé

Question

j'ai un virus trojan dans mon pc mais je ne c pas comment le repéré et le détruire help a cause de cela mon uc est a 100% du moins je croit ke sa vien de la HELP!!!!!!!!!!!

philae83 · Answer

Bonsoir,

* Télécharge  HijackThis  et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

khemia · Answer

ok je te poste sa desuite

khemia · Answer

Logfile of HijackThis v1.99.1
Scan saved at 23:26:50, on 03/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\khalid abzaoui\Bureau\HijackThis.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\winIogon.exe
O4 - HKLM\..\Run: [Windows Update] ssms.exe
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\RunServices: [Windows Update] ssms.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?360a251589404269988ac2224b52f7ed
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?360a251589404269988ac2224b52f7ed
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

philae83 · Answer

re

je te prépare les manips à effectuer

philae83 · Answer

* Télécharge CCleaner.

https://www.pcastuces.com/logitheque/ccleaner.htm

Installe le dans un répertoire dédié.

Décoche pendant l'installation

--- les deux cases "Ajouter l'option ... "

--- Contrôler les mises à jour

--- Ajouter la Barre d'Outils Yahoo! CCleaner

et

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download

* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

et

* Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe

puis

* lance hijackthis "do a system scan only" puis coche ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC 
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\winIogon.exe
O4 - HKLM\..\Run: [Windows Update] ssms.exe 
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\RunServices: [Windows Update] ssms.exe 
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart 

* ferme toutes les applications ouvertes y compris internet explorer et clique sur "fix checked"

puis

* Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
* copie d'un trait les lignes de la citation suivante :

C:\WINDOWS\system32\winIogon.exe
C:\WINDOWS\system32	cpipmon.exe
C:\WINDOWS\system32\ssms.exe 

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer).

Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

puis fait dans l'ordre stp. Tu sauvegardes le rapport APRES avoir mis les actions.

Puis sur l'onglet Paramètres,
sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

Poste le.

* lance ccleaner pour un nettoyage complet

et reposte également un nouveau rapport hijackthis

khemia · Answer

ok merci je te poste tout des ke je peut merci encore

khemia · Answer

je vais te poster le rapport de avg anti spyware merci et a de suite

khemia · Answer

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	11:00:37 04/03/2007

 + Résultat de l'analyse:	



C:\!KillBox\winIogon.exe -> Backdoor.PoeBot.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{7C40A6DF-067E-4373-BB86-E032F1BF775B}\RP24\A0018625.exe -> Backdoor.PoeBot.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ggxblc.exe -> Backdoor.PoeBot.l : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.6:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.8:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies-1.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.8:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.22:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.23:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.24:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.25:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\khalid abzaoui\Cookies\khalid abzaoui@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.15:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies-1.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.34:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\khalid abzaoui\Cookies\khalid abzaoui@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.12:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\khalid abzaoui\Cookies\khalid abzaoui@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\khalid abzaoui\Cookies\khalid abzaoui@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.16:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies-1.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.26:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.27:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.28:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.29:C:\Documents and Settings\khalid abzaoui\Application Data\Mozilla\Firefox\Profiles\1qa3p14q.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\khalid abzaoui\Cookies\khalid abzaoui@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

khemia · Answer

Logfile of HijackThis v1.99.1
Scan saved at 11:22:53, on 04/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\khalid abzaoui\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?360a251589404269988ac2224b52f7ed
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?360a251589404269988ac2224b52f7ed
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

philae83 · Answer

Bonjour,

que dit ton uc maintenant ?

khemia · Answer

re

ben c pas pareil pck moi c mon uc ki est a 100%

philae83 · Answer

quel est le processus qui "bouffe" toute l'UC stp

khemia · Answer

je croi que c'est system il tourne dans les 90

philae83 · Answer

je veux pas que tu crois, je veux être sûre.
ctrl+alt+supp et onglet processus, tu regardes le processus qui a le plus de consommation et tu me le donnes stp

khemia · Answer

le plus c'est nom de l'image = system /nom d'utilisateur =system/
processeur=entre 35 et 97 / util. memoire = 264 ko


sinon celui ki utilise le plus en ko c'est firefox 37712 ko

philae83 · Answer

ok merci,

* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

* tuto en image
https://forum.pcastuces.com/default.asp#haut

à la lettre T

khemia · Answer

je peut pas il me dit kil me faut explorer 5.0 ou ultérieur

philae83 · Answer

fait le avec Internet Explorer
et accepte les activesX

khemia · Answer

internet explorer est trop lent avec mon uc a 100% in faut 2 min pour ouvrir une page

philae83 · Answer

il va être difficile de faire sans

ton rapport HJT est propre
refait un scan AVG complet et poste le rapport

khemia · Answer

c bon j'ai reussi a acceder a la page je suis entrain de l'installer en fin je croit ke sa installe ou ke sa lance directement le scan enfin c bon koi

khemia · Answer

alors le scan se termine dans 6262 sec sa avance moins vite ke des seconde donc hummmmmmmmmmm bref je laisse tourné et je te tien au courant ken c fini

philae83 · Answer

oui laisse tourner tranquillement

khemia · Answer

a cette heure si je suis a 40% a +

philae83 · Answer

ok

patience !
t'a t il trouvé qq chose ?

khemia · Answer

non rien pour l instant

philae83 · Answer

ok à plus tard alors

khemia · Answer

alors voila le topo l'analyse a l'air de tounrer sauf qu'elle est bloké sur 50% et qu'une copie de fichier c lancer elle me copie des fichiers dans C:/windows/system32 et c ke des fichier .dll

philae83 · Answer

je ne comprends pas :
et qu'une copie de fichier c lancer elle me copie des fichiers dans C:/windows/system32 et c ke des fichier .dll

khemia · Answer

non ben aparement le scan a lancé une copie de fichier ki est mnt terminer et l'analise a repris mnt c bon par contre est tu sur kil i aura un rapport??

khemia · Answer

alors voila le topo en fait ce ke j'atendai depuis je cplus combien de temps ce n'était que le telechargement des actives x lol(rrrrrrrrrrr) alors la j'espere ke c l'analyse mais en tout cas elle dure plus de 9000sec alors bon je te tien au courant a++ merci de m'aider d'avance

philae83 · Answer

ok, mais stp essaye d'écrire autrement qu'en langage sms parce que franchement j'ai du mal. Merci

khemia · Answer

ok pardon c'est un habitude bref je t'envoie le rapport demain en fin d'apres midi merci et a demain!!

philae83 · Answer

OK à demain

khemia · Answer

slt 

bon alors je t'explique l'analyse doit dure plus de 30h donc il faudrai que je laisse mon ordi allumé toute la nuit ce qui n'est pas possible car il fait trop de bruit et je ne peut pas le mettre en veille car la mise en veille est hs donc je te remercie de m'avoir aider mais je laisse tomber du moins pour le moment 

merci et aurevoir

philae83 · Answer

bonsoir,

c'est vrai que c'est long, mais bien souvent l'estimation change et diminue rapidement

Virus trojan dans mon pc

36 réponses

Newsletters