[Résolu] Cheval de troie " backdoor.win32.poison.bnow

[fbouba]

Bonjour , Kaspersky m'a apparemment bloqué un cheval de troie " backdoor.win32.poison.bnow ..le soucis est qu'il apparait comme inactif ?

J'ai fait une recherche avec Kaspersky apparement rien trouver puis malwarebyte idem

ma question est comment savoir si ce fichier est présent dans le pc pour le supprimer?

car il me dit qu'il est inactif , ce qui veut dire qu'il peut etre present dans le pc en attente

d'etre activer par son propriétaire ?.Le fichier en question est un .rar que je n'ai pas executé et que j'ai supprimer "corbeille" . c'est en téléchargeant une notice sur des exercices de musculation : Exlib libary / by bluix 753 de 99,3mo

Planete-Lolo.com - Forum Téléchargement Film, Séries, Jeux, Logiciels gratuit / [MU] Logiciel Musculation Exlib

c'est sur cette adress

pourriez vous prendre en consideration ma demande afin de me dire si mon pc est infecté ou non ?

 

Inactif (1)

13/02/2011 06:25:32 Inactif cheval de Troie Backdoor.Win32.Poison.bnow Fichier http://www1126.megaupload.com/files/9a253c65d412f833f808c6788d4d2a6e/Exlib%20Library%20(By_BlueX753).rar//Exlib Library (By_BlueX753).exe// system.exe Elevées

 

merci

Modifié le 19 février 2011 par fbouba

[pear]

Bonjour,

 

Postez le rapport Kaspersky, svp.

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Décompresser le fichier ZHPDiag.fix sur le bureau

puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Clic sur la Loupe pour lancer le scan

En cas de blocage sur O80, cliquez sur le tournevis pour le décocher

Postez en le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[fbouba]

Bonjour Pear , merci pour ton intervention , je te poste les scan

 

MBAM :http://cjoint.com/?0crfoQQr5L

 

rapport ZHP :http://cjoint.com/?0crf6IvcZTz

 

j'ai eu un soucis lors de l'execution et le scanner ZHP :

 

j'ai deux applications qui se sont exécutés en signalement élevé de kaspersky

[pear]

Bonjour,

 

Rien de malicieux dans ces 2 rapports.

 

Postez donc le rapport kaspersky demandé, svp.

[fbouba]

Bonjour,

 

Rien de malicieux dans ces 2 rapports.

 

Postez donc le rapport kaspersky demandé, svp.

 

 

bonsoir pear

 

17/02/2011 05:48:02 Application inconnue Contrôle des Applications Autorisé: Modification des privilèges des objets Modification des privilèges des objets REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\Root Modification des privilèges des objets

17/02/2011 05:49:08 Application inconnue Contrôle des Applications Autorisé: Lancement du pilote Exécution du pilote \Registry\Machine\System\CurrentControlSet\Services\mbr Lancement du pilote

17/02/2011 05:47:59 Application inconnue Contrôle des Applications Autorisé: Définition des privilèges du débogueur Définition des privilèges du débogueur SeDebugPrivilege Définition des privilèges du débogueur

 

 

li s'agit de la défense proactive C: program files \ ZHPDIAG\MBR.exe

PDM suspicious driver installation

 

 

17/02/2011 05:49:08 Application inconnue Défense Proactive Détectés: PDM.Suspicious driver installation C:\PROGRAM FILES\ZHPDIAG\MBR.EXE

 

mais si vous n'avez rien trouver d'inquiétant c'est sans doute un faux positif que KSP analyse en t'en que tel .

lors de l'execution de zhpdiag .

[pear]

Bonsoir,

 

Pour simplifier, indiquez Zhpdiag dans les exceptions de Kaspersky.

[fbouba]

Bonsoir,

 

Pour simplifier, indiquez Zhpdiag dans les exceptions de Kaspersky.

 

bonjour Pear

 

merci pour tout à bientôt