Pc infecté par chevaux de troiesRésolu/Fermé

Question

Bonjour à vous,
Mon pc est infecter par plusieurs chevaux de troies (win32.agent.tdd,trojan généric.1611233,trojan.keygan.AX etc..........).En tout j'en ai 10 infections par chevaux de trois car j'ai téléchargé un peu n'importe quoi et maintenant j'espère que vous allez m'aider à résoudre mon problème.
Si je restaure mon pc à partir d'un point de sauvegarde,est-ce que les chevaux de trois vont partir en même temps ?
En plus je ne suis plus Administrateur du pc car j'ai essayé de les éradiquer moi même et que certains virus je ne pouvais pas les supprimés car je n'été plus administrateur.
Pour vous aidez j'ai noté les emplacements de ses chevaux de trois.
S'il vous plaît aidez moi 
Merci
@+

patrice86 · Answer

Et voila, on télécharge n'importe quoi et après, on se retrouve infecté de virus. Normal !

Même si vous faites une restauration du systéme, ce n'est pas garanti que tout les virus "partiront".
Faite des analyses avec votre anti-virus.

patrice86 · Answer

Votre anti-virus doit normalement vous proposez de supprimé les fichiers, faite le.
Mais tout ne sera pas parti, après, faite des analyses avec spybot

bernard.1234 · Answer

Hier,j'ai effectué des scans avec l'antivirus qui à apparament éradiqués quelques chevaux de trois,j'ai effectué un scan avec Spybot qui m'en a trouvé un mais qu'il n'a pas pu enlever.
Mon problème est d'éradiqué tous ces chevaux de trois mais certains protègent l'acces par un mot de passe et d'autres je peux rien faire car apparament je suis plus Administrateur.
Je pense qu'il faut que je redevienne Administrateur pour pouvoir commencer à régler mon problème.
Ensuite éradiquer les autres qui sont protégés par des mots de passes et au fur et à mesure mon problème saura régler.
Voulez-vous m'aider ?
Cordialement

patrice86 · Answer

Faite clique droit et éxécuter spybit en adminisatrateur.
Ou bien, aller dans les paramètres du compte voir si vous êtes bien en administrateur.
Si vous y étiez avant, je ne vois pas pourquoi vous ne pouvez plus y être

bernard.1234 · Answer

J'ai vérifier si j'été bien en administrateur et je le suis.
Pourquoi quand j'ai voulu résoudre mon problème avec mon antivirus,j'avais une page qui s'ouvre en me disant que je pouvais pas supprimer où mettre en quarantaine car je n'été pas en tant qu'administrateur et la même chose c'est produite avec spybot car il m'a détecté un virus dans la base registre et la aussi je n'avais aucune option pour  le résoudre.
Je suis entrain de refaire un scan avec kaspersky et un autre avec spybot et je te tiens au courant

bernard.1234 · Answer

Re,
J'ai fini avec spybot et il m'a trouvé un win 32.agent.tdd 
(SBI $AC97CB48)Réglages  Clé du registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Exicution Option\livesrv.exe
Kaspersky a trouvé 21/10/2009 09:33:28	Détectés: HiddenObject.Multi.Generic	C:\Documents and Settings\Aurore et Yves\AppData\Local\Mozilla\Firefox\Profiles\4xonzk0z.default\Cache\7DA061B6d01	Consigné dans le rapport		
Quelle est la suite ?

bernard.1234 · Answer

Re,
Si je réinitialise le pc pour l'avoir comme au 1er jour,ça va régler mon problème où les chevaux de trois va résister à ce traitement.
Tant pis pour mes données perso,ça m'apprendra à être sage avec le pc.

Lyonnais92 · Answer

Bonjour,

tes données persos, tu les sauvegardes sur un DD externe avant tout autre chose.

ne sauvegarde aucun fichier .exe ou .scr (au cas où).

Ensuite, tu fais ça :

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Lyonnais92 · Answer

Bonjour,

la suite :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option  "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

===

--> Télécharge et installe UsbFixUsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton Bureau .

• Choisis l' option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Lyonnais92 · Answer

Re,

le bon lien :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

essaye de supprimer tout ce que tu as téléchargé ou oinstallé et de recommencer.

Règle Kaspersky pour ignorer l'alerte (et ne pas mettre un fichier en quarantaine.

Pour Toolbar S&D ?

bernard.1234 · Answer

Re,
J'ai essayé pleins de fois d'installer USBFix.exe mais j'ai toujours le même message cité message 13.
J'ai redémarré mon pc et toujours le même message.

Lyonnais92 · Answer

Re,

refais tourner ZHPDiag et poste le rapport.

Lyonnais92 · Answer

Re,

tu as encore une infection via les supports amovibles.

Il faut que je vérifie un fichier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\System32\ab_bl.sig
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Lyonnais92 · Answer

Re,

quelle taille a ce fichier quand tu regardes via l'Explorateur Windows ?

bernard.1234 · Answer

Re, Explique moi,je ne comprend pas ce que je doit faire.

Lyonnais92 · Answer

Re,

ouvre l'Explorateur Windows,

cherche le fichier

tu as des informations sur le fichier, dont sa taille.

donne la moi.

bernard.1234 · Answer

Re,
J'ai tapé le nom du fichier dans recherché,il me l'a trouvé mais je ne peux pas l'ouvrir.
Le type du fichier est Unknown.
C'est bien ça que tu m'as demandé ?

bernard.1234 · Answer

Re,
Erreur de ma part,je l'ai trouvé.La taille est de 0 octet et c'est un fichier SIG

Lyonnais92 · Answer

Re,

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj200910/cijQ6frQGf.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

bernard.1234 · Answer

############################## | UsbFix V6.043 |

User : Aurore et Yves (Administrateurs) # PC-AURORE-YVES
Update on 21/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 00:00:21 | 22/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 453,76 Go (415,31 Go free) [HDD] # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque CD-ROM
I:\ -> Disque fixe local # 931,51 Go (833,78 Go free) [DD externe 1] # NTFS

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Packard bell\SAXO27\HIDSERVICE.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32undll32.exe
C:\Program Files\Packard Bell\Carbonite\CarboniteSetupLitePBPreInstaller.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Windows\system32\conime.exe
C:\Program Files\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe
C:\Program Files\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\FrostWire\FrostWire.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\wmiprvse.exe
Re,
J'ai effectué le scan avec UsbFix
J'ai mis les dvds masters pour le remettre à zéro car j'ai des gros soucis avec un logiciel que j'ai téléchargé sur le forum.
################## | Fichiers # Dossiers infectieux |

I:\autorun.inf  

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.043 ! |

Lyonnais92 · Answer

Bonsoir,

le rapport ZHPDiag ne montre rien.

Que veux tu dire par :

J'ai mis les dvds masters pour le remettre à zéro car j'ai des gros soucis avec un logiciel que j'ai téléchargé sur le forum.

bernard.1234 · Answer

Re,
J'ai reformater mon pc avec les dvd masters car j'ai eu un gros soucis avec l'intallation de ComboFix qui aparament pouvait m'aider à résoudre mon problème.
J'ai reformaté le pc,j'ai fait une recherche de virus avec UsbFix qui me montre que j'avais une infection (post 26).Je relance UsbFix pour supprimer l'infection qui le supprime sans aucun problème,je me dit que c'est fini et bien non,j'ai le pc qui ne répond pas pareil qu'au début,il est plus long,ma connection internet est chaotique,le démarrage est plus long qu'au début et je n'ai plus de périphérique audio.
Je remet le périphérique audio,je refait un scan avec UsbFix pour voir si il y a encore une infection qui ce cache et je netrouve plus rien.Je me dit que ça doit venir du reformatage du pc donc je le refait et toujours pareil.UsbFix me détecte la même infection sauf que ce coup si,il est venu avec un copain à lui.
PS:l'infection se trouve dans le DD externe.Le pc est apparament niquel pas une seule infection.
Je t'envoie le rapport d'UsbFix 
http://www.cijoint.fr/cjlink.php?file=cj200910/cijvKVo9Rd.txt
Merci pour ton aide

Lyonnais92 · Answer

Bonjour,

je m'étais absenté quelques jours.

Il faut que tu relances USBFix avec l'option "supprimer".

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées sans les ouvrir
• Fais un clic droit sur le raccourci UsbFix présent sur ton Bureau et choisis "Exécuter en tant qu'administrateur" .
• Choisis l' option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Pc infecté par chevaux de troies

23 réponses

Newsletters