[résolu] cheval de troie

j'ai etrust antivirus et pespatrol antispyreware mais je n'arrête pas d'avoir des cookies traceurs j'ai lancer l'analyse apparement j'aurai un cheval de troie Win32/thorin.11932????et etrust ne peut pas le supprimer je n'y connais rien en informatique et ça me rend help me !!
Goliotte

J'ai cherché sur Secuser un vaccin pour ce troyen, je n'ai pas trouvé.
Mais Naheulbeuk va bien te trouver une solution...

salut, a la rescousse lol

1/ Télécharge et installe CCleaner
Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

2/ Télécharge HijackThis et mets-le dans un dossier nommé hijackthis dans tes program files ! (C:\Program Files\HijackThis)

tuto en images : http://pageperso.aol.fr/balltrap34/demohijack.htm

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

A+

et voila ça me parle bien tout ça!!
Logfile of HijackThis v1.99.1
Scan saved at 12:20:07, on 26/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [gykenfrrdv] c:\windows\system32\gykenfrrdv.exe gykenfrrdv
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4E8A3661-FB5B-4AEF-BF60-B0E9712FAE49} (Silverwire Image Uploader 3.0 Control) - http://www.fotowire.com/download/client/uploader/ImageUploader3.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149405165599
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/FUploader/SpeedUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

re,

tu ne semble pas utiliser ni d'antivirus ni de pare-feu... c'est vrai ?
si tu n'en possède pas, va voir dans le froum, rubrique sécurité j'ai fait des post-it pour t'aider !

sinon fais ceci dans l'ordre et en entier :

1/ refais un scan hijackthis coche et fix cette ligne :

O4 - HKLM\..\Run: [gykenfrrdv] c:\windows\system32\gykenfrrdv.exe gykenfrrdv

2/ ferme hijackthis

3/ supprime ce fichier :

c:\windows\system32\gykenfrrdv.exe

4/ vide ta corbeille et redémarre ton pc

5/ Télécharge la version d'essai d'Ewido 4.0 ici :

http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/31851.html

et l'installer.

Démarrer ewido. Cliquer sur mise à jour ("update now"), attendre la fin de cette mise à jour puis, fermer le programme.

Redémarre en mode sans échec, relance Ewido et clique sur "scan now" puis sur "complete system scan".

Une fois le scan terminé, ewido affiche un rapport. Clique sur "set all elements" et choisissez "delete". Ensuite clique sur "apply all actions", ca va supprimer toutes les infections détectées par ewido.

Ensuite clique sur "save report" -> "save report as" et enregistre le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse !

A+ et bon courage !

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 20:35:27 30/09/2006

+ Scan result:



C:\Program Files\GV AbsoluCasino\AbsoluCasino.exe -> Adware.Casino : Cleaned.
C:\Downloads\BigKahunaReef2-dm[1].exe -> Adware.Trymedia : Cleaned.


::Report end

voilà ,mais je n'ai pas trouvé c:\windows\system32\gykenfrrdv.exe
sinon j'ai un antivirus et antispyware au début je n'avais pas de problèmes apparement et puis .....
je l'ai réinstallé ,quand je le lance ça marche mais bon ?a part ça j'ai des doutes;et puis au démarrage j'ai toujours un message qui me dit que mon antivirus est périmé et dans centre de sécurité protection antivirus désactivé ;il ya peut-être des réglages à faire??en tout les cas ça me ....comment dire.... gonfle et le mot est faible!!! et merci de ta patience

joli, ton avatar, Goliote...
Et tu me dis que tu ne sais pas te débrouiller...!
Si ton antivirus est périmé, il faut absolument que tu télécharges les nouvelles définitions de virus... tu dois avoir une commande "live up".
Et s'il est payant, alors installe Avast qui est gratuit, lui !

mais non il ne peut pas être périmé; il est valable 5ans et je viens de le réinstallé et j'ai fais les mises à jour;mais j'ai certainement mal fait quelque chose
il doit y avoir des réglages à faire dans la configuration centre de sécurité ou autre ?je ne sais pas?? mais bon un jour peut-être j'aurai la révélation
quand à avast je l'avait avant et je me chopait aussi des choses
à mon avis je suis maudite :affraid:

re,

fais un scan panda en ligne (avec Internet Explorer) :
ici
analyse ton poste de travail !
et post moi le rapport de ce scan ici une fois terminé !

ps : si tu possède avast comme antivirus, désactive-le le temps du scan !

A+

j'ai fait le scan il n'y a rien
j'ai Etrust antivirus et antispyware
dans le gestionnaire des services les serveurs ne peuvent démarrer ;
message : le service ne peut démarré car désactivé ou aucun périphérique n'est activé
comment ça s'activent toutes ces choses???

Je ne connais pas cet antivirus.

Quand tu en ouvres la fenêtre, n'as-tu pas un menu options, dans lequel tu pourrais lui dire quelque chose du genre : lancer à chaque démarrage ...

non,je trouve pas
les périphériques à activer ça se trouve où cette bête?

Bizarre, ton truc... Je ne vois pas ce que ça a à voir avec les périphériques... et je donne ma langue au chat.
Naheul, au secours !

ca a pas l'air d'etre un pb d'infection quelconque... :/

désinstalle ton antivirus et installes en un autre

tu peux télécharger avast! il est gratuit

sinon l'analyse spybot a donné ça
comment savoir si c'est quelque chose d'anodin ou plus sérieux??
Windows Security Center.AntiVirusOverride: Réglages (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-08-26 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-08-25 Includes\Cookies.sbi (*)
2006-08-25 Includes\Dialer.sbi (*)
2006-08-25 Includes\Hijackers.sbi (*)
2006-08-25 Includes\Keyloggers.sbi (*)
2006-08-25 Includes\Malware.sbi (*)
2006-08-25 Includes\PUPS.sbi (*)
2006-08-25 Includes\Revision.sbi (*)
2006-08-25 Includes\Security.sbi (*)
2006-08-25 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-08-25 Includes\Trojans.sbi (*)

ca veut juste dire que tu as désactivé l'alerte du centre de sécurité windows concernant l'antivirus

salut
et pourcela comment résoudre ???est -ce que c'est un virus grave ??? Incident Statut Analyse

Outil indésirable:application/mywebsearch No Désinfecté hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}
Outil indésirable:application/zango No Désinfecté HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{99410cde-6f16-42ce-9d49-3807f78f0287}
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\joelle\Cookies\joelle@xiti[1].txt
Spyware:Cookie/Hbmediapro No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@adopt.hbmediapro[2].txt
Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@adultfriendfinder[2].txt
Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@apmebf[2].txt
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@as-eu.falkag[2].txt
Spyware:Cookie/Cassava No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@cassava[1].txt
Spyware:Cookie/Cgi-bin No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@cgi-bin[1].txt
Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@fe.lea.lycos[1].txt
Spyware:Cookie/Go No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@go[1].txt
Spyware:Cookie/Itrack No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@ilead.itrack[2].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@overture[2].txt
Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@toplist[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@xiti[1].txt

j'ai essayer de désinfecter avec l'explication que tu donnes dans post pr aide mais pour copier coller le texte dans pocket killbox impossible? c'est bien pour enlever systemdoctor?

re,

normal il y a des clés de la base de registre...

1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

Citation :

REGEDIT4

[-hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{99410cde-6f16-42ce-9d49-3807f78f0287}]

-Enregistrer ce fichier dans : Bureau
-Nom du fichier : fix.reg
-Type : tous les fichiers
-cliquer sur Enregistrer
-quitter le Bloc Notes

Utilisation du fichier: fix.reg
- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

2/ Télécharge ATF Cleaner by Atribune sur ton bureau.

son tuto : http://mickael.barroux.free.fr/securite/tutoatfcleaner.html

Lance ATF-Cleaner : Double-clique sur ATF-Cleaner.exe
Coche ceci :

Windows Temp
Current User Temp
All Users Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin


Clique sur Empty Selected et au message "Done Cleaning" sur Ok

3/ redémarre le pc et roule ma poule

apparement ça n'as pas marché
je vais réessayer!

et non toujours pas résolu

c'est quoi le pb exactement ?

des pubs qui apparaissent et dans mes favoris une liste que je n'ai pas demandée impossible a enlever :
cool stuff ,travel shopping gifts, internet ,computers movie ,games,web hosting ,casino on line

mon fils a sa session "c'est lui "qui me ramène ce genre de problèmes,est-ce qu'il y a des sites a éviter? de jeux ,de video ....


Incident Statut Analyse

Spyware:Cookie/Hbmediapro No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@adopt.hbmediapro[2].txt
Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@adultfriendfinder[2].txt
Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@apmebf[2].txt
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@as-eu.falkag[2].txt
Spyware:Cookie/Cassava No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@cassava[1].txt
Spyware:Cookie/Cgi-bin No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@cgi-bin[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@drivecleaner[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@errorsafe[2].txt
Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@fe.lea.lycos[1].txt
Spyware:Cookie/Go No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@go[1].txt
Spyware:Cookie/Itrack No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@ilead.itrack[2].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@overture[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@stats.drivecleaner[2].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@stats1.reliablestats[1].txt
Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@toplist[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@www.drivecleaner[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@www.errorsafe[1].txt
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@www.systemdoctor[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\yoan\Cookies\yoan@xiti[1].txt

a toi de jouer

re, ok on retrousse les manches

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

A+