Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

suppression d'un trojan


imre974
 Partager

Messages recommandés

Bonjour le forum zebulon;

j'ai un gros souci sour mon pc, j'ai attrapé un trojan qui semble ce plaire car je n'arrive pas à la supprimer.

Clamwin l'a détecté, je me suis rendu sur votre forum et j'ai vu qu'une personne avait eu un probleme avec un trojan.

J'ai donc suivi la procédure indiqué.

J'ai installé Antivir mais le problème c'est qu'il bloqie dès qu"il arrive sur le de fameux fichier.

L'update est impossible car je me déconnecte

Je laisse le rapport de clam win

RROR: Can't open file C:\WINDOW

 

S\system32\config\default

 

ERROR: Can't open file C:\WINDOWS\system32\config\SAM

 

ERROR: Can't open file C:\WINDOWS\system32\config\SECURITY

 

ERROR: Can't open file C:\WINDOWS\system32\config\software

 

ERROR: Can't open file C:\WINDOWS\system32\config\system

 

 

 

C:\Program Files\Fichiers communs\CMEII\CMESys.exe: Adware.Gator-6 FOUND

 

C:\Program Files\Fichiers communs\CMEII\GAppMgr.dll: Adware.Gator-1 FOUND

 

C:\Program Files\Fichiers communs\CMEII\GDwldEng.dll: Adware.Gator-2 FOUND

 

C:\Program Files\Fichiers communs\ffbbqqtp\dqpfeoft\attesobm.exe: Trojan.Agent.AY FOUND

 

C:\Program Files\Fichiers communs\ffbbqqtp\frmfcbnnla\

 

C:\Program Files\Fichiers communs\GMT\GatorStubSetup.exe: Adware.Gator-1 FOUND

 

C:\Program Files\Fichiers communs\GMT\GUninstaller.exe: Adware.Gator-3 FOUND

 

-- summary --

 

Known viruses: 42498

 

Engine version: 0.87

 

Scanned directories: 4191

 

Scanned files: 31719

 

Infected files: 7

 

 

J'ai également essayé AGENT CS trojan cleaner m'est il ne trouve rien ou quand il y avait Antivir celui-ci se mettait en route en détectant le fichier mais il se bloquait.

 

De l'aide svp.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et bienvenu sur le forum de zebulon,

 

J'ai donc suivi la procédure indiqué.

J'ai installé Antivir mais le problème c'est qu'il bloqie dès qu"il arrive sur le de fameux fichier.

Bon, passe cette étape et postes nous un rapport hijackthis en mode normal!

 

ERROR: Can't open file C:\WINDOWS\system32\config\SAM

 

ERROR: Can't open file C:\WINDOWS\system32\config\SECURITY

 

ERROR: Can't open file C:\WINDOWS\system32\config\software

 

ERROR: Can't open file C:\WINDOWS\system32\config\system

Ces fichiers sont tres importants, ils concernent la base de registre!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Bonjour et bienvenu sur le forum de zebulon,

Bon, passe cette étape et postes nous un rapport hijackthis en mode normal!

Ces fichiers sont tres importants, ils concernent la base de registre!

 

Bonjour, merci beaucoup pour votre aide ;

voici le rapport :

Logfile of HijackThis v1.99.1

Scan saved at 11:44:26, on 24/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Fichiers communs\GMT\GMT.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\slrundll.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\sanchez\LOCALS~1\Temp\Rar$EX00.359\HijackThis.exe

C:\DOCUME~1\sanchez\LOCALS~1\Temp\Rar$EX00.343\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\sanchez\LOCALS~1\Temp\delus.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{2CA48048-8C75-407F-AA83-3586F1256731}: NameServer = 80.10.246.5 80.10.246.136

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

 

encore merci

Lien vers le commentaire
Partager sur d’autres sites

Re bonjour,

 

Effectivement, tu es infecté!

Je démarre une analyse, réponse dans un moment

 

C:\DOCUME~1\sanchez\LOCALS~1\Temp\Rar$EX00.359\HijackThis.exe

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.

Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.

Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Re bonjour,

 

Effectivement, tu es infecté!

Je démarre une analyse, réponse dans un moment

Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.

Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.

Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées!

 

 

encore merci ,

les symptômes sont sont les suivants :

déconnexion régulière

extinction du pc

donc je risque de "disparaitre"

ok pour le programme hjt.

Lien vers le commentaire
Partager sur d’autres sites

Re bonjour,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Dans le menu Demarrer>Executer >tape: services.msc

 

Recherche le service avec cette orthographe exacte:

-France Telecom Routing Table Service (FTRTSVC)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

Le service France Telecom Routing Table Service (FTRTSVC) n est pas infectueux! Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! Donc il faut le supprimer

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\sanchez\LOCALS~1\Temp\delus.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

 

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<---cette lign,e ne devrait plus apparaitre du fait que l on a stoppé le service en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\Program Files\Fichiers communs\CMEII<---supprime tout le dossier

-C:\Program Files\Fichiers communs\GMT<---supprime tout le dossier

-C:\Program Files\Fichiers communs\ffbbqqtp<---supprime tout le dossier

 

-C:\WINDOWS\System32\FTRTSVC.exe

 

-C:\DOCUME~1\sanchez\LOCALS~1\Temp<---vide le dossier

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ton systeme n est absolument pas protégé. Je ne vois ni antivirus, ni firewall. Tu en trouveras des gratuits et efficaces dans "les consignes de sécurité" en bas pres de ma signature. Installes les

Lien vers le commentaire
Partager sur d’autres sites

Re bonjour,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

4/ Dans le menu Demarrer>Executer >tape: services.msc

 

Recherche le service avec cette orthographe exacte:

-France Telecom Routing Table Service (FTRTSVC)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

Le service France Telecom Routing Table Service (FTRTSVC) n est pas infectueux! Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! Donc il faut le supprimer

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\sanchez\LOCALS~1\Temp\delus.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

 

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<---cette lign,e ne devrait plus apparaitre du fait que l on a stoppé le service en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\Program Files\Fichiers communs\CMEII<---supprime tout le dossier

-C:\Program Files\Fichiers communs\GMT<---supprime tout le dossier

-C:\Program Files\Fichiers communs\ffbbqqtp<---supprime tout le dossier

 

-C:\WINDOWS\System32\FTRTSVC.exe

 

-C:\DOCUME~1\sanchez\LOCALS~1\Temp<---vide le dossier

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ton systeme n est absolument pas protégé. Je ne vois ni antivirus, ni firewall. Tu en trouveras des gratuits et efficaces dans "les consignes de sécurité" en bas pres de ma signature. Installes les

 

ok jack,

j'ai du boulot!

je m'y met...

j'espère que ca va marché

merci beaucoup

Lien vers le commentaire
Partager sur d’autres sites

je ne peux pas installé Easy cleaner,

erreur 6002

Bon passe cette étape. On verra apres.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...