Votre question

Trojan Nimda.r

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Août 2011 21:52:21

Bonjour,

J'ai chopé un cheval de troie Nimda.r dont je n'arrive pas a me débarasser. J'utilise Bit defender total sécurity mais il ne veut même pas le mettre en quarantaine; Merci de votre aide.

Autres pages sur : trojan nimda

Contenus similaires
2 Août 2011 11:22:56

gen-h@ckm@n a dit :
ok

J'ai lancé ton utilitaire et j'ai redémarré. Aprés j'ai effectué une analyse par l'anti virus le problème persisite. Il a fallu que j'ignore pour sortir
2 Août 2011 11:23:49

tu peux dire sur quel fichier il trouve ca ?
2 Août 2011 11:43:32

gen-h@ckm@n a dit :
tu peux dire sur quel fichier il trouve ca ?

C'est dans un fichier de programmes mais je n'arrive pas a savoir lequel il ne me met pas le chemin
2 Août 2011 11:55:53

Télécharge ici : http://www.itxassociates.com/OT-Tools/OTL.exe OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant tous les utilisateurs

règle age du fichier sur "60 jours"

dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5f...

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
2 Août 2011 13:42:14

je peux avoir le extra.txt aussi ?
2 Août 2011 13:52:22

Télécharge ici : http://www.teamxscript.org/adremoverTelechargement.html Ad-remover sur ton bureau :

Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ...

Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
2 Août 2011 14:01:01

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 13:57:09 le 02/08/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X86)
alain@PC-DE-ALAIN (Dell Inc. Dell XPS420)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [12.0.742.122] ****

Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x)

-- C:\Users\alain\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.sfr.fr/portail.html
Preferences - homepage_is_newtabpage: false
Plugin - Chrome NaCl (Activé: false) (C:\Users\alain\AppData\Local\Google\Chrome\Application\12.0.742.112\ppGoogleNaClPluginChrome.dll)
Plugin - "Java" (Activé: true)
Plugin - "Chrome NaCl" (Activé: false)

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} (x)
HKLM_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} (x)
HKCU_Toolbar\WebBrowser|{3061AEEE-DDA9-4301-947F-9AEDD54F6BB5} (C:\Windows\Downloaded Program Files\tbcore3.dll)
HKLM_Toolbar|{381FFDE8-2394-4F90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2011\IEToolbar.dll)
HKLM_Toolbar|{4daac69c-cba7-45e2-9bc8-1044483d3352} (x)
HKLM_Toolbar|{3061AEEE-DDA9-4301-947F-9AEDD54F6BB5} (C:\Windows\Downloaded Program Files\tbcore3.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\system32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\system32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291} - C:\Windows\Downloaded Program Files\TbHelper2.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47FD-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2011\about.exe\about.ex (x)
HKLM_ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c} - C:\ProgramData\Adobe\Acrobat\acrobat.exe (x)
HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\SFR\Kit\9launch.exe (SFR)
HKLM_ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420} - C:\ProgramData\Adobe\Acrobat\acrobat.exe (x)
BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll)
BHO\{58DE50D2-870E-4A8B-9865-B470494BD052} - "TBSB01359 Class" (C:\Windows\Downloaded Program Files\tbcore3.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 21 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 29 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 01/08/2011 14:56:58 (7052 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 02/08/2011 13:58:24 (3806 Octet(s))
C:\Ad-Report-SCAN[1].txt - 31/07/2011 17:10:08 (7416 Octet(s))

Fin à: 13:59:27, 02/08/2011

============== E.O.F ==============
2 Août 2011 14:24:52

possible de lire celui-ci ?

C:\Ad-Report-CLEAN[1].txt
2 Août 2011 14:28:57

====== RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:56:51 le 01/08/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X86)
alain@PC-DE-ALAIN (Dell Inc. Dell XPS420)

============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Users\alain\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\alain\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Users\alain\AppData\LocalLow\Toolbar4

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé supprimée: HKLM\Software\Classes\CLSID\{7F1DC0D0-6748-4C5A-B0B9-A6B5ADA8494D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7F1DC0D0-6748-4C5A-B0B9-A6B5ADA8494D}
Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EF3B7EB9-0699-4019-8954-F82F92AAD7F2}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [12.0.742.122] ****

Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x)

-- C:\Users\alain\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.sfr.fr/portail.html
Preferences - homepage_is_newtabpage: false
Plugin - Chrome NaCl (Activé: false) (C:\Users\alain\AppData\Local\Google\Chrome\Application\12.0.742.112\ppGoogleNaClPluginChrome.dll)
Plugin - "Java" (Activé: true)
Plugin - "Chrome NaCl" (Activé: false)

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} (x)
HKLM_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} (x)
HKCU_Toolbar\WebBrowser|{3061AEEE-DDA9-4301-947F-9AEDD54F6BB5} (C:\Windows\Downloaded Program Files\tbcore3.dll)
HKLM_Toolbar|{381FFDE8-2394-4F90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2011\IEToolbar.dll)
HKLM_Toolbar|{4daac69c-cba7-45e2-9bc8-1044483d3352} (x)
HKLM_Toolbar|{3061AEEE-DDA9-4301-947F-9AEDD54F6BB5} (C:\Windows\Downloaded Program Files\tbcore3.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\system32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\system32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291} - C:\Windows\Downloaded Program Files\TbHelper2.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47FD-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2011\about.exe\about.ex (x)
HKLM_ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c} - C:\ProgramData\Adobe\Acrobat\acrobat.exe (x)
HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\SFR\Kit\9launch.exe (SFR)
HKLM_ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420} - C:\ProgramData\Adobe\Acrobat\acrobat.exe (x)
BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll)
BHO\{58DE50D2-870E-4A8B-9865-B470494BD052} - "TBSB01359 Class" (C:\Windows\Downloaded Program Files\tbcore3.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 21 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 01/08/2011 14:56:58 (6848 Octet(s))
C:\Ad-Report-SCAN[1].txt - 31/07/2011 17:10:08 (7416 Octet(s))

Fin à: 14:57:57, 01/08/2011

============== E.O.F ==============
A+
2 Août 2011 14:31:01


  • desactive ton antivirus
  • desactive Windows defender si présent
  • desactive ton pare-feu


    Télécharge ici : http://dl.dropbox.com/u/21363431/Pre_scan.exe Pre_Scan , puis enregistre-le sur ton bureau

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

  • si l'outil detecte un proxy et que tu n'en as pas installé
    clique sur "supprimer le proxy"

  • si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

  • Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM (il est trop long)

  • clique sur ce lien : http://www.cijoint.fr/

  • Clique sur Parcourir et cherche le fichier ci-dessus.

  • Clique sur Ouvrir.

  • Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5f...

    est ajouté dans la page.

  • Copie ce lien dans ta réponse.
    2 Août 2011 15:48:14

    gen-h@ckm@n a dit :
  • desactive ton antivirus
  • desactive Windows defender si présent
  • desactive ton pare-feu


    Télécharge ici : http://dl.dropbox.com/u/21363431/Pre_scan.exe Pre_Scan , puis enregistre-le sur ton bureau

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

  • si l'outil detecte un proxy et que tu n'en as pas installé
    clique sur "supprimer le proxy"

  • si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

  • Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM (il est trop long)

  • clique sur ce lien : http://www.cijoint.fr/

  • Clique sur Parcourir et cherche le fichier ci-dessus.

  • Clique sur Ouvrir.

  • Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5f...

    est ajouté dans la page.

  • Copie ce lien dans ta réponse.


  • http://www.cijoint.fr/cjlink.php?file=cj201108/cij5z2fT.... Voici le résultat obtenu. A+
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS