Trojan

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Kenzi » 02 Déc 2007, 13:31

bonjour,

j'ai fait une analyse hier soir après avoir fait ce que tu m'as dit avec Spyware Doctor, il ne m'a plus trouvé Trojan.Virtumonde mais juste Trojan.Downloader.ConHook voici les lignes des résultats d'analyses qu'il me met:

02/12/2007 03:08:55:953 Une infection a été détectée sur cet ordinateur
Nom de la menace - Trojan-Downloader.ConHook
Type - Registry Value
Degré de risque - Haut
Infection - HKEY_USERS\S-1-5-21-146493703-3817250521-1562077580-1007\Software\Microsoft\MS Juan, (Default)

02/12/2007 03:08:55:953 Une infection a été détectée sur cet ordinateur
Nom de la menace - Trojan-Downloader.ConHook
Type - Registry Key
Degré de risque - Haut
Infection - HKEY_USERS\S-1-5-21-146493703-3817250521-1562077580-1007\Software\Microsoft\MS Juan

Apparemment il ne resterait plus que ça à régler si j'ai bien compris et peut être quelques corrections ou réglages...

Merci encore pour toute ton aide
Kenzi
Kenzi
 
Messages: 13
Inscription: 29 Nov 2007, 00:55

Messagede nickW » 02 Déc 2007, 15:59

Bonjour,

Suppression de cette clé:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 2).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Création du fichier aven3.txt
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven3.txt

Code: Tout sélectionner
Registry keys to delete:
HKEY_USERS\S-1-5-21-146493703-3817250521-1562077580-1007\Software\Microsoft\MS Juan


Note: Le code ci-dessus a été créé exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 2: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Sous "Script file to execute" choisir "Load script from file:".
Puis cliquer sur le bouton représentant un dossier jaune, ce qui va ouvrir une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven3.txt
Ensuite cliquer sur le bouton représentant un feu vert pour lancer l'exécution du script.
Répondre "Oui/Yes" deux fois quand demandé.
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 3: Résultats
Envoyer en réponse:
*- le rapport de The Avenger (contenu du fichier C:\avenger.txt)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kenzi » 02 Déc 2007, 16:20

bonjour,
voici le rapport:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\onhdtjbp

*******************

Script file located at: \??\C:\WINDOWS\system32\fpicnyhs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_USERS\S-1-5-21-146493703-3817250521-1562077580-1007\Software\Microsoft\MS Juan not found!
Deletion of registry key HKEY_USERS\S-1-5-21-146493703-3817250521-1562077580-1007\Software\Microsoft\MS Juan failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Il ne l'a pas enlevé si j'ai bien compris...

Merci pour ton aide
Kenzi
Kenzi
 
Messages: 13
Inscription: 29 Nov 2007, 00:55

Messagede nickW » 02 Déc 2007, 16:32

Re-

Peut-être Spyware Doctor l'a-t-il déjà supprimée?
De toute façon, cette clé n'est pas utilisée pour lancer un processus.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kenzi » 02 Déc 2007, 17:08

re

Normalement il ne l'a pas supprimé il ne veut plus supprimer, ni même mettre en quarantaine

Je vais relancer une analyse je l'ai peut être enlevée moi-même je ne sais pas

Edit: après analyse non ils sont toujours là et Spyware Doctor me dit qu'en version non achetée il ne peut pas l'enlever

Edit2: Sinon pendant que j'y suis dans la réparation, mon pc ramait depuis déjà un bon moment mais là ca devient inssuportable je me demande bien de quoi ça vient, car l'uc est quasi tout le temps à 100%
par exemple là j'ai 3 msn, steam, mcafee et spyware doctor de lancé et je lance spybot sreach & destroy ca rame obligé de le fermer on m'a dit qu'avec 1Go de ram ce n'était pas normal ^^

Merci
Kenzi
Kenzi
 
Messages: 13
Inscription: 29 Nov 2007, 00:55

Messagede nickW » 03 Déc 2007, 00:02

Bonsoir,

Avec "seulement" "3 msn, steam, mcafee et spyware doctor", quel est le taux d'occupation mémoire?


Tu écris que ce taux est presque en permanence à 100%.
Quels sont les processus les plus gourmands?


La situation a-t-elle empiré depuis la mise en place de Spyware Doctor (sa protection en temps réel pourrait entrer en conflit avec McAfee)?
Si tu arrêtes les deux services liés à Spyware Doctor:
PC Tools Auxiliary Service
PC Tools Security Service
la situation s'améliore-t-elle?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kenzi » 03 Déc 2007, 01:02

bonsoir,

et bien en fait ça varie là j'ai firefox d'ouvert en plus et l'uc utilisée varie entre 4 et 30%
c'est souvent en train de varier avec parfois des montée et mon pc lag et se bloque obligé de l'éteindre avec le bouton il ne répond plus...

les processus les plus gourmands sont: msnmsgr (présent 3 fois:50008ko, 51440ko, 68844ko) , firefox (38936ko), hqste08 (17312ko), swdsvc (24576ko), ehecvr (17956ko), McProxy (11548ko), McShield (23644ko), McNASvc (10328ko), Steam (16944ko), svchost (présent 4 fois: dont une à 27204ko)


il y a des périodes, des fois j'ai les 3 msn, steam, counter strike source le lecteur windows media et internet explorer ou firefox et il n'y a pas trop de problèmes
mais il arrive aussi assez souvent qu'avant d'éteindre le pc je n'ai plus rien d'ouvert et que l'uc est à 100% j'ai l'impression que des applications fermées continuent de s'executer dans le processus ce qui est le cas parfois quand je connais leur nom je les y retrouve
on dirait vraiment que mon pc a un comportement aléatoire en ce qui concerne cela

Je n'ai pas eu l'impression que ça ait vraiment empiré depuis que j'ai mis spyware doctor juste le démarrage plus lent mais j'avais été prévenu que ça le ferait et je verrai si je prendrais ou non une version définitive car depuis que je l'ai mis je suis quand même assez satisfaite de ses services

j'ai désactivé spyware doctor et ça n'a rien changé toujours pareil uc à 100% si je rajoute spybot search & destroy


ça fait déjà un moment que mon pc rame et qu'il m'arrive d'être obligé de l'éteindre avec le bouton j'avais essayé de chercher de l'aide mais le problème n'a pas été résolu et je ne m'y connais pas donc je n'y touche pas trop j'ai peur de modifier quelque chose et de détraquer le pc et tout perdre mes données ce que je ne souhaiterais pas

j'ai l'impression que plusieurs processus sont ouvers mais ne servent à rien peut être que je me trompe mais on dirait... J'ai déjà essayé d'accéler la rapidité il ya moins d'une semaine en enlevant du démarrage et en désactivant des choses inutiles mais il me semble que je n'ai pas vu de changements

enfin je sais pas peut être que c'est "normal" que mon pc rame si c'est beaucoup ce que j'utilise si c'est le cas il faudrait que je trouve une solution (peu être rajouter de la ram en plus des 1Go?) mais si je ne trouve pas de solutions à ça ce n'est pas grave je m'y suis habituée à force

sinon pour la clé de registre si elle n'est pas supprimée, c'est grave? j'ai essayé comme tu m'as dit mais ça n'a pas marché et je n'ai pas essayé de l'enlever autrement de peur de faire une bétise

je te remercie pour toute ton aide qui m'a été bien utile jusqu'à présent
Kenzi
Kenzi
 
Messages: 13
Inscription: 29 Nov 2007, 00:55

Messagede nickW » 06 Déc 2007, 00:52

Bonsoir,

Commentaires:

hpqste08 (... et non hqste08 :wink:)
HP Digital Imaging
hpqste08.exe is a process installed alongside HP Imaging devices and provides additional configuration options for these devices.
http://www.liutilities.com/products/win ... /hpqste08/


swdsvc
Spyware Doctor Service
swdsvc.exe is a Spyware Doctor Service from PC Tools
http://www.processlibrary.com/directory/?files=swdsvc


ehRecvr (... et non ehecvr :wink:)
Media Center Receiver Service
ehrecvr.exe is a process belonging to the Microsoft Media Center which adds additional multimedia functions to this operating system.
http://www.liutilities.com/products/win ... y/ehrecvr/


Steam
Mise à jour automatique de jeux.



Conseils:

Empêcher le lancement automatique au démarrage via Spybot-S&D (dans Outils---->Démarrage système)de:
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [DMAScheduler] c:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe


Arrêter le service Windows Media Center Receiver, puis le mettre en démarrage manuel.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kenzi » 07 Déc 2007, 21:25

Bonsoir,

j'ai fait comme tu m'as dit sauf pour la désactivation de media center je n'ai pas trouvé où c'est mais c'est pas grave mon pc démarre déjà plus vite :)

Merci beaucoup pour toute ton aide
Kenzi
Kenzi
 
Messages: 13
Inscription: 29 Nov 2007, 00:55

Messagede nickW » 09 Déc 2007, 19:12

Bonsoir,

L'erreur sur ehRecvr peut être due à un problème de codecs vidéo.
Solution: Les désinstaller puis les réinstaller.

Voir par exemple:
Sortir d'un conflit de codecs / filtres / mci
http://www.zebulon.fr/astuces/133-sorti ... s-mci.html

Voir aussi:
K-Lite Codec Pack
http://www.codecguide.com/about_kl.htm

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Précédente

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 29 invités