infecté par des trojan (bloqués par firewall) mais n'arrive pas à l'éradiquer.

**méphistopheles** · 28/03/2007, 18h22

Bonjour.

mon Pc est infecté par un trojan qui me crée des exe et des tmp dans le dossier temp qui essayent ensuite de se conecter à internet (mais look&stop veille heureusement).
malheureusement, si avast peut se débarasser de ces exe, il ne trouve pas le programme qui les créé (je lui ai déja fait faire une analyse de tous les disques).

Il à néamoins pu me donner les nom des trojan en question:

Win32:Trojan-gen. {UPX!}
Win32:MedBot-AX [Wrm]
Win32:Horst-GZ [Trj]

bref, auriez vous une idée de me débarasser définitivement de ça ?

merci.

**scualm** · 28/03/2007, 18h33

Bonjour,

toute éradication: désactiver la restauration système(tu va perdre tes points déjà crées), sans connexion à l'internet, en mode sans échec et avec l'antivirus à jour .

Bonne chance

**lavazavio** · 28/03/2007, 18h56

Exactement voodonet !

En plus, utilise a²-squared car apparemment Avast n'est pas capable de les supprimer (google).

**méphistopheles** · 28/03/2007, 20h55

pourquoi faut-il désactiver la resto système ?
ce n'est pas possible de garder un point au moins ?

sinon, il me semble que le scan d'avast que j'ai fait était en mode sans échec (avant le démmarage de windows...)

Enfin, je vais faire preuve de mon ignorance: comment on redémare en mode sans écherc sous Xp ?

merci

**scualm** · 28/03/2007, 21h08

non malheureusement ce n'est pas possible, soit tu la désactive soit tu supprime des points déjà crées mais ceci n'est pas une solution mais simplement une option en temps normal (non-infectée)

pour démarrer en mode sans échec, c'est la touche F8 au démarrage de la machine.

**méphistopheles** · 01/05/2007, 10h21

Bon, j'ai essayé avec a_squared, mais pas en mode sans échaec car le système (j'ygnore pourquoi) plantait au bout d'un certain temps avec a_squared qui tournait en sans échec...

et ça n'a pas marché. la chose qui m'a le plus éttoné c'est que a-squared n'a trouvé que des traces et des cookies suspects: pas de fichier repéré.

alors qu'avast en à lui repéré plusieurs

je vous met toujours le compte rendu de a-squared en piece jointe.

merci

**Jannus** · 01/05/2007, 13h16

Avast est un anti-virus A² est un anti-spywares
il est logique qu'ils ne trouvent pas les mêmes choses

**S2S** · 01/05/2007, 13h40

lu
ce n'est pas forcement un programme seul qui creer les processus, mais une clé (ou ensemble de clé) registre qui les telecharge ou les restore ou appel un exe bien planqué...
si tu peut suprimer les fichier trouvé par l'anti virus (a la main) passe systematiquement un nettoyeur de registre derriere.

**scualm** · 01/05/2007, 15h17

Envoyé par méphistopheles

alors qu'avast en à lui repéré plusieurs

je vous met toujours le compte rendu de a-squared en piece jointe.

j'ignore d'où la popularité de a-squared débarque, bref d'après le .log il a su mettre en quarantaine une dll (Spy4PC), temps mieux !

et avast a su éradiquer quoi exactement comme virus?

**méphistopheles** · 01/05/2007, 15h45

je ne critiquait pas a-squared, j'exprimais juste mon incompréhension.

néanmoins, le problème n'est toujours pas réglé.

comment faire ?

**scualm** · 01/05/2007, 15h59

nan c'est moi qui critique a-squared, t'inquiètes

si avast est présent sur le pc, normalement ca devrais aller pour éradiquer les infections, en suivant les conseils données précédemment.

perso je préfère bitdefender 8, dans sa version gratuite mais sans résident donc aucune protection en temps réel ... essaie-le

aussi Grisoft Antispyware, avec les deux tu devras t'en sortir

**Jannus** · 01/05/2007, 16h30

Tant qu'à faire de changer, autant installer un logiciel (antivirus gratuit) complet et performant : AntiVir

**S2S** · 02/05/2007, 09h33

un autre antivirus NOD32

**méphistopheles** · 05/05/2007, 11h12

Je n'ai eu le temse de teste vos antivirus (désolé

) mais j'ai refait des analyses avast et a-squared avec le resultat en pièce jointe (c'est quoi hyberfil.sys ?)

par contre, avast ne cesse de détecter des ouriez sortants suspects qui passent par généric host processe for win 32 (m'en suit aparçu en le bloquant avec look'n stop) ne sait où sans en détecter la source...

je me demande ce que j'ai chopé qui peut à ce point passer inapercu...

**_solo** · 07/05/2007, 16h20

hiberfil.sys est un fichier qui permet la mise en veille prolonger sous XP en desactivant la mise en veille prolonger ce fichier sera effacer par windows.

je me demande ce que j'ai chopé qui peut à ce point passer inapercu...

rootkit

essaie avec RR http://www.sysinternals.com/Files/RootkitRevealer.zip ou blacklight pour t'assurer que ca n'en n'est pas http://www.f-secure.com/blacklight/try_blacklight.html
c'est scans te permettra de voir si oui ou non un programme se cache parmis les autres de maniere plus ou moins automatique , tu peut ensuite affiner ton analyse avec iceword http://mail2.ustc.edu.cn/~jfpan/

**méphistopheles** · 08/05/2007, 11h16

faut que je lance un antivirus ou un truc comme ça pour déclencher le virus (avec rootkit ?) par-ce qu'étant donné que je bloque toutes ses tentatives d'accès à internet, il arrête ses programmes dés qu'il est bloqué. (il envoie aussi des mails).

D'ailleurs, quelque-chose m'étonne: normalement, le rootkit n'aurait pas pu s'activer avant le démarrage de Windows non ? (avast à lancé un scan avant démarrage ...)

sinon, voici le résultat obtenu par rootkit en pièce jointe. comme je ne sait pas si ce son des pièces système, j'aimerais avoir votre avis sur l'impact de leur suppression ou autre.

merci.

**_solo** · 09/05/2007, 14h50

rien de bien dangereux mais c'est pas normal que des boutons soit cachers a ce niveau , c'est peut-etre eux les virus ( possibles exploitations de la faille .ani [[curseur animer]) )