Les archives du forum bonclic.biz 2004-2020

sujets de discussions

Les posts du forum
cheval de troie 12/10/2006 07:21:35 par tribugarnon
j'ai un problème à la maison, va falloir que je m'en occuppe serieusement ce week end

mon pc rame à mort, je fais 4 concours et hop tout ce bloque obligée d'éteindre et de rallumer le PC

j'ai fait un scan qui a trouvé un cheval de troie et qui l'a viré, mais mon problème est pas résolu donc cette saeté doit être ailleurs aussi

cmoa c'est surement ça qui te bloque la base à chaque fois
12/10/2006 07:22:40 par cmoa
vi ptre :roll:
12/10/2006 08:58:59 par EDDY
Pour l'éradiquation des virus, chevaux de troie, spyware ,malwares et autres, le faire tjs en mode sans échec (minimum de service lancé)

désactiver avant l'analyse la réstauration/sauvegarde automatique de la base de registre ( car la plupart du tps c'est incrusté aussi ds la base de registre et le pb peut se régénérer automatiquement dès qu'il y a connexion sur le net ou relancement de windows notamment si on a restauré une base de registre à une date antérieur au pb )

Consulter (sous xp) le journal des logs, ça donne pas mal d' indice .

regarder ce qui "tourne" en fond de tache

utiliser en première approche/analyse stinger
http://vil.nai.com/vil/stinger/

utiliser aussi le programme "HijackThis" (détection et suppression des malwares base de registre incluse) http://www.hijackthis.de/
12/10/2006 10:26:16 par enjo
Salut,
pour l'analyse de Hitjack this (en mode complet, pas sans échec) et ensuite en mode sans échec, une fois les corrections effectuées:
http://www.hijackthis.de/index.php
Sinon en ligne, assez performant pour les chevaux de troie (comme Eddy le disait: désactiver la restauration système et ton AV actuel avant le scan): http://assiste.free.fr/p/antivirus_gratuits_en_ligne/cod_command_on_demand_antivirus.php
Et des infos très précieuses ici: http://assiste.free.fr/p/carnets_de_voyage/trojans.html
12/10/2006 12:12:18 par whithdevels
vi pareil j'ai retiré cheval de troie mais ca rame toujours et ca bloque
merci pour les explications enjo et eddy mais je suis pas bonne pour ce
genre de truc :?
12/10/2006 13:18:26 par enjo
Il ne faut pas baisser les bras!!!
Télécharge hitjack this et copie ici le resultat!
Tu peux voir, si ton PC rame en faisant ctrl+Alt+Suppr: onglet processus.
Tu cliques sur processeur et tu auras l'utilisation dans l'ordre (montant ou desendant) de ton processeur (en %). Si ton processeur, sur une application, dépasse les 3 ou 4 %, note l'application qui le produit :wink:
14/10/2006 06:11:51 par tribugarnon
bon enjo, j'ai voulu faire ce que tu dis, mais quand je vais sur
http://www.hijackthis.de/index.php

il me dit copier votre log ici , C'EST QUOI UN LOG ???
ou alors rechercher le sur votre PC,

je cherche quoi sur mon PC, avec quel nom ou quel fichier ???
14/10/2006 08:32:13 par tribugarnon
bon j'essai d'avancer, alors j'ai désactiver la restauration système, j'ai lu sur google qu'il fallait mieux ne pas la réactiver.

j'ai lancé stinger il a rien trouvé (http://vil.nai.com/vil/stinger/)
donc
j'ai été sur secuser.com l'antivirus de secuser m' a trouvé un virus "bat generic" qu'il a iradié

je continue pour voir si ça avance
14/10/2006 09:45:28 par enjo
[quote="tribugarnon"]bon enjo, j'ai voulu faire ce que tu dis, mais quand je vais sur
http://www.hijackthis.de/index.php

il me dit copier votre log ici , C'EST QUOI UN LOG ???
ou alors rechercher le sur votre PC,

je cherche quoi sur mon PC, avec quel nom ou quel fichier ???[/quote] C'est le résultat qu'il t'affiche dans une fenêtre bloc note!
Tu peux le copier/coller :wink:
14/10/2006 09:46:47 par enjo
Tu dois cocher, pour lancer le scan: "do a scan and save a log file"
14/10/2006 10:00:56 par tribugarnon
en fait quand je vais sur hitachi, je clique sur telechargement direct et ouvrir

là j'ai un message comme quoi le fichier n'est pas valide car il est pas en ??? je sais plus quoi
et rien ne se passe
14/10/2006 10:04:49 par tribugarnon
bon j'ai ça

The following analyses has been stored temporarily
Analysis 2 14.10.2006, 12:01:37


Aidez-nous à garder ce service gratuit en ligne! Faites-nous, s'il vous plaît, une petite donation via PayPal.

ensuite il y a une case sauvegarder et quand je valide j'ai ça

Inscription Genre
(Bon, Méchant, Inconnu) Description Conseil


Ce log a été évalué automatiquement !
Profitez vous aussi de l’évaluation automatique de votre log Hijackthis sur www.hijackthis.de !

il n'y a rien du tout
14/10/2006 10:10:34 par enjo
Il n'y a rien du tout: tu veux dire que toute les entrées analysées sont "bon"? ou que c'est vide?
Sinon télécharge le .exe ici: http://www.01net.com/outils/telecharger/windows/Internet/internet_utlitaire/fiches/tele29061.html
14/10/2006 10:12:57 par tribugarnon
c'est complètement vide, lol
14/10/2006 10:15:04 par tribugarnon
yes je deviens un crac, à toi enjo de me dire tout ce que je peux supprimer, lol

Logfile of HijackThis v1.99.1
Scan saved at 12:17:39, on 14/10/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\SCOOT\SCOOT.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\BUREAU\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4PMBSH2N\HIJACKTHIS[1].EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://hp.my.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [antivirus] C:\WINDOWS\fw_304.exe /i
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ItLauncherAutoStart] C:\PROGRA~1\INSTAN~1\BIN\ITLAUN~1.EXE -Embedding /AutoStart
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Notes &Sécurisées - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComEditNote.html
O8 - Extra context menu item: Aller &Remplir - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComGoFill.html
O8 - Extra context menu item: O&ptions... - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComOptions.html
O8 - Extra context menu item: &Réinitialiser les champs - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComResetFields.html
O9 - Extra button: PeoplePC - {A6E07A82-436A-11d3-83B6-00902747E82E} - c:\windows\PeoplePC\hta\peopledialer.hta
O9 - Extra button: Guide - {A6E07A80-436A-11d3-83B6-00902747E82E} - c:\windows\system\shdocvw.dll
O9 - Extra button: Barre RF - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: &Barre d outils - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remp&lir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: &Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O14 - IERESET.INF: START_PAGE_URL=http://hp.my.yahoo.com
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
14/10/2006 10:17:00 par enjo
Télécharge le !
do a scan and log a file
copie/colle ici le résultat qui apparait dans une fenêtre bloc note :wink:
http://www.01net.com/outils/telecharger/windows/Internet/internet_utlitaire/fiches/tele29061.html

Il faut réactiver la restauration système après que les analyses anti-virus et que les effacements sont éffectués!!! Sinon, tu n'auras plus de point de restauration disponible si tu as un jour un problème :roll:
14/10/2006 10:19:54 par tribugarnon
j'ai une autre fenetre avec plein de trucs ou je peux cocher dans des cases, mais rien est écrit en francais et j'arrive pas à copier et je sais pas ce qu'il veut


par contre ceux qui bloquent tout le temps c'est kernell32 et rnaapp
14/10/2006 11:06:11 par enjo
tu dois avoir une fenêtre bloc note qui s'ouvre... C'est à partir de celle là que tu arriveras à copier/coller!
Ne coche rien, surtout!!!
14/10/2006 11:11:06 par enjo
rnaapp
http://www.gsiteg.com/rnaapp-rnaapp-exe-t0-58.htm

kernell32.dll ou kernel32.exe ? Parceque le kernel32.exe semble être une cochonerie!
14/10/2006 12:02:08 par tribugarnon
en faisant plusieurs recherches j'ai vu que je pouvais upprimer certains fichier comme ceux du neuf, de yahoo, de peoplepc, j'ai fait le menage

rnaap j'ai vu qu'il fallait pas que je le supprime car il sert à mon modem

pour kernell32, il y aurait le .exe qui serait un virus et le dll qui n'en serait pas et qui serait le noyau de windows

j'ai vu que ce message de nombreuses personnes l'ont et que personne n'a encore trouvé la soluce

par contre là quand je fais une recherche pour kernell32, je ne trouve rien du tout

bon à priori j'ai vaincu le cheval de troie

merci enjo
14/10/2006 20:20:14 par enjo
Tant mieux :wink:
Mais comment as tu fais?