High-Tech Santé Médecine Droit-Finances

Auto-Entrepreneur

Comment faire ?

Rechercher : dans
Par :

S'il vous plait aidez moi! pc infecté prorat!

Dernière réponse le 5 sep 2008 à 02:23:55 natalyzik, le 3 sep 2008 à 00:32:13 
 Signaler ce message aux modérateurs

Bonjour,

J-ai acheté un nouveau pc et lorsque j installe les premier logiciels un p**** de trjan nomé prorat backdoor m a été signifié.... j ai deja formaté 4 fois et a chaque installation d un logiciel je fais bien attention de verifier par étape pour essayer de savoir d'ou vien l'infection mais rien a faire je ne trouve pas..... du coup j ai telecharger malware byte dont je vous poste le rapport ci dessous ainsi que le rapport hijackthis.

Lors de l'annalyse Malware byte trouve et m'efface les infections mais a chaque redemarrage ellles reviennent!

Si quelqu un a une ame charitable au plus profond de lui merci de me faire signe!! ^^ ;-)






RAPPORT MALWARE :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 3

00:28:12 03/09/2008
mbam-log-09-03-2008 (00-27-29).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 46557
Temps écoulé: 1 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa5.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\moa4.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\noa6.tmp (Backdoor.ProRat) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\hoa3.tmp (Backdoor.ProRat) -> No action taken.









rapport hijacktthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:09:40, on 03/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\install_zike\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [FirefaceTray] fireface.exe
O4 - HKLM\..\Run: [FirefaceMixTray] firefacemix.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
End of file - 3746 bytes



Merci d avance pour les plus courageux!!!!

Configuration: Windows XP
Firefox 2.0.0.16

Meilleures réponses pour « s'il vous plait aidez moi! pc infecté prorat! » dans :
Désinfecter une clé USB ou un disque amovible Voir
PC infecté par des rogues VoirQue faire si votre pc est infecté par un ou plusieurs rogues ?? Définition d'un rogue Procédure préliminaire à exécuter si vous êtes sous Vista 1. SmitfraudFix Option 1 - Recherche Option 2 - Nettoyage 2. MalwareByte's Anti...
[mythes] PC infecté dans les 5 premières minutes d'Internet VoirMythe Un PC relié à internet sera infecté dans les 5 premières minutes de connexion Réalité VRAI Explications Tous les systèmes d'exploitation possèdent des bugs (des erreurs de programmation). Windows n'y échappe pas. Il se trouve que la...
Posez votre question Répondre

1

John17, le 3 sep 2008 à 00:34:20
  • +1

Salut,

j'y connais rien en analyse Hijack mais je sais que lorsque j'ai un soucis de virus, spyware, malware,...je vais sur le forum de sosordi.net section securité.
Ils ont une équipe spécialisée pour les désinfections.

   
Répondre à John17

2

roboy, le 3 sep 2008 à 01:31:25

Salut,


formate

   
Répondre à roboy

3

natalyzik, le 3 sep 2008 à 11:39:18

Oui c'est sur je pourrai formater mon pc indéfiniment comme je l'ai deja fait, mais tôt ou tard il reviendra ce satané trojant...
j ai déjà formaté 4 fois!

je pense que la source du trojan s est glissé dans mon disque dur extern (j ai 130G de données) mais j ai scanné le DD externe avec Malwerebyte pour essayer de trouver "la racine du trojan"mais impossible de trouver ou il se cache...

De plus j'utilise ce meme DD avec un pc portable et je n'ai aucun soucis sur le pc portable... bref je ne sais pas d'ou sort ce trojan..
Quand je reformatte mon pc et qu'il est clean je l'analyse et tout est ok c est au fur et a mesure que je commence a installer divers logiciel que l'on dirai qu'il s'installe.
J ai donc suivi étape par étape pour savoir quel été LE logiciel qui était susceptible de le contenir mais hélas il semble que ce soir alléatoire.. comme si l'install de mes logiciels n'avez rien avoir avec la mise en place de ce trojan.. apres verification mes logiciel ont tous des install "propre"....

Alors les 2 questions que je me pose sont les suivantes:
- soit je cherche ou est la racine de ce trojan pour le detruire avant qu'il n'infecte le pc
- soit je le laisse m'infecter et je le detruit une bonne fois pour toute une fois qu'il m'aura contaminé

Hummm
En tout cas merci pour vos réponses!

   
Répondre à natalyzik

4

John17, le 3 sep 2008 à 13:33:03
  • +1

Non mais je t'explique. En general un bon trojan est bien conçu.

Il fait croire a ton anti-virus qu'il se trouve a un certain endroit, genre dans le system32 avec un nom de m*rde fhe22gd.dll ou .exe.

Alors le commun des mortelles s'empresse de le foutre en quarantaine ou de le virer. Ils pensent etre débarrasser: "Haha trop facil, heureusement que j'avais mon anti-virus pour me proteger". Mais en faite, il y a un générateur derriere qui va créer le fichier a chaque démarrage de ton pc.
Ou pire, si tu essayes de le virer manuellement il va se mettre en route pour de bon et foutre le chenit sur ton pc.

Alors si tu veux vraiment le virer va sur sosordi.net et ils te le supprimeront pour de bon. Poste un rapport hijack et suit leur consigne.

Ha oui, quel genre de logiciel tu installes ? Tu utilises des keygen ou des crack no-cd (je cherche pas a te juger ;) )?

   
Répondre à John17

5

roboy, le 3 sep 2008 à 13:46:05

Hummmm je comprend hummm

formater c'est pas toujours facile et c'est une décision dur a prendre nataly

Je ne saurai t'aider, car je manque de compétences dans ce domaine.

J'espère que quelqu'un pourra t'aider a bien désinfecter ta machine.


hummm salut

   
Répondre à roboy

6

natalyzik, le 4 sep 2008 à 01:06:50

Bonsoir a tous,

J ai reformaté et appliqué les règles de bases pour bien entretenir mon pc dans le long terme.

a savoir installation de antivir, de spywareblaster et spybot.

Ils ont directement detectés des fichiers louches donc suppression et maintenant

TOUT MARCHE NIKEL.

Merci pour vos reponse.
Bien a vous!!

   
Répondre à natalyzik

7

 roboy, le 5 sep 2008 à 02:23:55

Tres bonne nouvelle !


Que la force soit avec toi !

bien a toi

   
Répondre à roboy
Posez votre question Répondre
Ils ont besoin de votre aide