|
|
 |
cart$2003319 cart
16/11 :: 17:32
Membre inscrit
| | Après avoir scanné mon PC avec Antivir, je viens de découvrir un trojan nommé TR/Fakesvc.C.2
Antivir ne peut l'éliminer. Les anti-trojans que j'ai téléchargé sont inéficaces car ils font plantés le PC lors du scan.
Lorsque je cherche le trojan manuellement, le PC plante lorsque j'arrive au fichier en question.
D'après Antivir ce trojan se trouverai ds c:\windows\system
Le fichier en question est svcpack.exe.
Comment l'éliminer? est ce que le fait de l'effacer peut avoir une incidence sur le fonctionnement de la machine?
Merci d'avance pour votre aide
| |
|
JokuHech$2003165 JokuHech
16/11 » 19:34
Membre acharné
| | Tu dois d'aord enlever les clés de la base de registres. svcpack.exe se trouve également en liste de démarrage win.ini, donc l'enlever également. Essayes de lancer hijackthis, pour t'aider dans cette tâche
quelques infos ici:
http://forums.spywareinfo.com/index.php?showtopic=14984
ou ici:
http://www.sophos.fr/virusinfo/analyses/trojbdsinitc.html | |
|
cart$2003319 cart
17/11 :: 20:40
Membre inscrit
| | Merci pour les liens mais le 1er est en anglais et j'ai pas trop de notion et le 2eme il faut l'antivirus sophos.
Peux tu me détailler les manipulations à faire pour enlever les clés de la base de registres. Etant novice je ne veux pas modifier des paramètres qui pourraient abimer le PC.
Est ce qu'une fois ces clés retirées, le trojan sera éliminer?
Existe t'il d'autres solutions que d'aller ds les registres windows?
Merci encore | |
|
cart$2003319 cart
17/11 :: 22:01
Membre inscrit
| | Je viens de trouver de nouvelles info sur le trojan BD/Sinit-a
Je pense que c'est le même que TR/Fakesvc.C.2?
Troj/BDSinit-A se copie dans le dossier système Windows sous le nom SVCINIT.EXE et crée dans le registre l'entrée suivante pour s'exécuter au redémarrage du système : HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SVC Service. De manière à s'exécuter au redémarrage du système, Troj/BDSinit-A crée aussi une entrée dans le fichier WIN.INI dans la section Windows. Troj/BDSinit-A ouvre un port aléatoire pour recevoir les données en entrée d'un intrus. Le cheval de Troie crée aussi dans le registre l'entrée suivante : HKLM\Software\Microsoft\DirectPlugin\EngineName. Pour s'en défaire il faut suivre les instructions de suppression des chevaux de Troie. Modification du registre : si elle est présente, vous devrez aussi modifier dans le registre l'entrée suivante. Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup. Recherchez l'entrée HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SVC Service, et supprimez-la si elle existe. Fermez l'éditeur de registre. Modification du fichier Win.ini : Dans la Barre des tâches, cliquez sur Démarrer|Exécuter et saisissez Sysedit. Passez au premier plan le fichier Win.ini. Dans la section [windows], recherchez une ligne commençant par 'Run=' et supprimez toute référence aux fichiers que vous avez supprimés. Supprimez uniquement cette référence, aucun autre texte. Réinitialisez votre ordinateur
Est ce que les clé a supprimer sont les bonnes?
Je ne trouve pas la clé (la partie entre parenthèse est introuvable):
HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ (SVC Service)
La clé s'arrête à RunService
D'autre part dans le fichier Win.ini je ne trouve rien de particulier sur la ligne run=
Désolé d'être si pesant mais j'ai vraiment envie de m'en débarasser (mon PC plante tout le tps et rame)
Merci | |
|
habana$ habana
19/11 :: 00:38
Admin
| | Si les infos ne correspondent pas, c'est une autre menace ou une variante.
Si je me souviens bien, il y a un manuel d'utilisation de la base de registre en section téléchargement. et un petit prog du nom de hijackthis | |
|
cart$2003319 cart
19/11 :: 17:55
Membre inscrit
| | Merci habana pour l'info.
J'ai donc utiliser hijackthis et j'ai obtenu les lignes du registres.
Est ce que je peux les poster sur ce forum sans aucune crainte ou te les envoyer directement pour que tu puisses les analyser parce que je n'y comprends pas grand chose.
Merci et a bientôt | |
|
habana$ habana
20/11 :: 01:01
Admin
| | bof, j'ai plus passionnant à lire .
Et si tu le supprimais en mode ms dos, ce fameux fichier ? | |
|
cart$2003319 cart
20/11 :: 18:03
Membre inscrit
| | je comprends bien qu'il y a plus passionnant. Mais ce forum propose de l'aide et pour le moment j'en suis toujours au même point.
Comment le supprimer en mode ms dos | |
