Création
d'entreprise
Posez votre question Signaler

S'il vous plait aidez moi! pc infecté prorat!

natalyzik - Dernière réponse le 5 sept. 2008 à 02:23
Bonjour,
J-ai acheté un nouveau pc et lorsque j installe les premier logiciels un p**** de trjan nomé prorat backdoor m a été signifié.... j ai deja formaté 4 fois et a chaque installation d un logiciel je fais bien attention de verifier par étape pour essayer de savoir d'ou vien l'infection mais rien a faire je ne trouve pas..... du coup j ai telecharger malware byte dont je vous poste le rapport ci dessous ainsi que le rapport hijackthis.
Lors de l'annalyse Malware byte trouve et m'efface les infections mais a chaque redemarrage ellles reviennent!
Si quelqu un a une ame charitable au plus profond de lui merci de me faire signe!! ^^ ;-)
RAPPORT MALWARE :
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 3
00:28:12 03/09/2008
mbam-log-09-03-2008 (00-27-29).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 46557
Temps écoulé: 1 minute(s), 43 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\moa4.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa6.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\hoa3.tmp (Backdoor.ProRat) -> No action taken.
rapport hijacktthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:40, on 03/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\install_zike\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [FirefaceTray] fireface.exe
O4 - HKLM\..\Run: [FirefaceMixTray] firefacemix.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Lire la suite 

S'il vous plait aidez moi! pc infecté prorat »

7 réponses
Réponse
+1
moins plus
John17 87Messages postés 20 mars 2008Date d'inscription 17 juin 2010Dernière intervention 3 sept. 2008 à 00:34
Salut,

j'y connais rien en analyse Hijack mais je sais que lorsque j'ai un soucis de virus, spyware, malware,...je vais sur le forum de sosordi.net section securité.
Ils ont une équipe spécialisée pour les désinfections.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
roboy 3 sept. 2008 à 01:31
salut,


formate

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
natalyzik 3 sept. 2008 à 11:39
Oui c'est sur je pourrai formater mon pc indéfiniment comme je l'ai deja fait, mais tôt ou tard il reviendra ce satané trojant...
j ai déjà formaté 4 fois!

je pense que la source du trojan s est glissé dans mon disque dur extern (j ai 130G de données) mais j ai scanné le DD externe avec Malwerebyte pour essayer de trouver "la racine du trojan"mais impossible de trouver ou il se cache...

De plus j'utilise ce meme DD avec un pc portable et je n'ai aucun soucis sur le pc portable... bref je ne sais pas d'ou sort ce trojan..
Quand je reformatte mon pc et qu'il est clean je l'analyse et tout est ok c est au fur et a mesure que je commence a installer divers logiciel que l'on dirai qu'il s'installe.
J ai donc suivi étape par étape pour savoir quel été LE logiciel qui était susceptible de le contenir mais hélas il semble que ce soir alléatoire.. comme si l'install de mes logiciels n'avez rien avoir avec la mise en place de ce trojan.. apres verification mes logiciel ont tous des install "propre"....

Alors les 2 questions que je me pose sont les suivantes:
- soit je cherche ou est la racine de ce trojan pour le detruire avant qu'il n'infecte le pc
- soit je le laisse m'infecter et je le detruit une bonne fois pour toute une fois qu'il m'aura contaminé

Hummm
En tout cas merci pour vos réponses!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+1
moins plus
John17 87Messages postés 20 mars 2008Date d'inscription 17 juin 2010Dernière intervention 3 sept. 2008 à 13:33
Non mais je t'explique. En general un bon trojan est bien conçu.

Il fait croire a ton anti-virus qu'il se trouve a un certain endroit, genre dans le system32 avec un nom de m*rde fhe22gd.dll ou .exe.

Alors le commun des mortelles s'empresse de le foutre en quarantaine ou de le virer. Ils pensent etre débarrasser: "Haha trop facil, heureusement que j'avais mon anti-virus pour me proteger". Mais en faite, il y a un générateur derriere qui va créer le fichier a chaque démarrage de ton pc.
Ou pire, si tu essayes de le virer manuellement il va se mettre en route pour de bon et foutre le chenit sur ton pc.

Alors si tu veux vraiment le virer va sur sosordi.net et ils te le supprimeront pour de bon. Poste un rapport hijack et suit leur consigne.

Ha oui, quel genre de logiciel tu installes ? Tu utilises des keygen ou des crack no-cd (je cherche pas a te juger ;) )?

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
roboy 3 sept. 2008 à 13:46
hummmm je comprend hummm

formater c'est pas toujours facile et c'est une décision dur a prendre nataly

Je ne saurai t'aider, car je manque de compétences dans ce domaine.

J'espère que quelqu'un pourra t'aider a bien désinfecter ta machine.


hummm salut

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
natalyzik 4 sept. 2008 à 01:06
Bonsoir a tous,

J ai reformaté et appliqué les règles de bases pour bien entretenir mon pc dans le long terme.

a savoir installation de antivir, de spywareblaster et spybot.

Ils ont directement detectés des fichiers louches donc suppression et maintenant

TOUT MARCHE NIKEL.

Merci pour vos reponse.
Bien a vous!!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
roboy 5 sept. 2008 à 02:23
tres bonne nouvelle !


Que la force soit avec toi !

bien a toi

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « s'il vous plait aidez moi! pc infecté prorat! » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?