Pc infecté par chevaux de troies [Résolu/Fermé]

Signaler
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
-
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
-
Bonjour à vous,
Mon pc est infecter par plusieurs chevaux de troies (win32.agent.tdd,trojan généric.1611233,trojan.keygan.AX etc..........).En tout j'en ai 10 infections par chevaux de trois car j'ai téléchargé un peu n'importe quoi et maintenant j'espère que vous allez m'aider à résoudre mon problème.
Si je restaure mon pc à partir d'un point de sauvegarde,est-ce que les chevaux de trois vont partir en même temps ?
En plus je ne suis plus Administrateur du pc car j'ai essayé de les éradiquer moi même et que certains virus je ne pouvais pas les supprimés car je n'été plus administrateur.
Pour vous aidez j'ai noté les emplacements de ses chevaux de trois.
S'il vous plaît aidez moi
Merci
@+

23 réponses

Messages postés
1359
Date d'inscription
dimanche 26 octobre 2008
Statut
Membre
Dernière intervention
24 avril 2020
119
Et voila, on télécharge n'importe quoi et après, on se retrouve infecté de virus. Normal !

Même si vous faites une restauration du systéme, ce n'est pas garanti que tout les virus "partiront".
Faite des analyses avec votre anti-virus.
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Merci Patrice pour ta réponse,j'ai déjà fais une analyse avec mon antivirus qui ma détecter tous mes chevaux de trois.J'aimerai savoir comment les iradiqués pour retrouver un pc cline.
Cordialement
Messages postés
1359
Date d'inscription
dimanche 26 octobre 2008
Statut
Membre
Dernière intervention
24 avril 2020
119
Votre anti-virus doit normalement vous proposez de supprimé les fichiers, faite le.
Mais tout ne sera pas parti, après, faite des analyses avec spybot
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Hier,j'ai effectué des scans avec l'antivirus qui à apparament éradiqués quelques chevaux de trois,j'ai effectué un scan avec Spybot qui m'en a trouvé un mais qu'il n'a pas pu enlever.
Mon problème est d'éradiqué tous ces chevaux de trois mais certains protègent l'acces par un mot de passe et d'autres je peux rien faire car apparament je suis plus Administrateur.
Je pense qu'il faut que je redevienne Administrateur pour pouvoir commencer à régler mon problème.
Ensuite éradiquer les autres qui sont protégés par des mots de passes et au fur et à mesure mon problème saura régler.
Voulez-vous m'aider ?
Cordialement
Messages postés
1359
Date d'inscription
dimanche 26 octobre 2008
Statut
Membre
Dernière intervention
24 avril 2020
119
Faite clique droit et éxécuter spybit en adminisatrateur.
Ou bien, aller dans les paramètres du compte voir si vous êtes bien en administrateur.
Si vous y étiez avant, je ne vois pas pourquoi vous ne pouvez plus y être
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
J'ai vérifier si j'été bien en administrateur et je le suis.
Pourquoi quand j'ai voulu résoudre mon problème avec mon antivirus,j'avais une page qui s'ouvre en me disant que je pouvais pas supprimer où mettre en quarantaine car je n'été pas en tant qu'administrateur et la même chose c'est produite avec spybot car il m'a détecté un virus dans la base registre et la aussi je n'avais aucune option pour le résoudre.
Je suis entrain de refaire un scan avec kaspersky et un autre avec spybot et je te tiens au courant
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
J'ai fini avec spybot et il m'a trouvé un win 32.agent.tdd
(SBI $AC97CB48)Réglages Clé du registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Exicution Option\livesrv.exe
Kaspersky a trouvé 21/10/2009 09:33:28 Détectés: HiddenObject.Multi.Generic C:\Documents and Settings\Aurore et Yves\AppData\Local\Mozilla\Firefox\Profiles\4xonzk0z.default\Cache\7DA061B6d01 Consigné dans le rapport
Quelle est la suite ?
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
Si je réinitialise le pc pour l'avoir comme au 1er jour,ça va régler mon problème où les chevaux de trois va résister à ce traitement.
Tant pis pour mes données perso,ça m'apprendra à être sage avec le pc.
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Bonjour,

tes données persos, tu les sauvegardes sur un DD externe avant tout autre chose.

ne sauvegarde aucun fichier .exe ou .scr (au cas où).

Ensuite, tu fais ça :

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Merci Lyonnais92 pour ta réponse.
Je vais faire tout ce que tu m'a dit et je te tiens au courant
Cordialement
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3 >
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010

Voici le lien que tu m'as demandé:
http://www.cijoint.fr/cjlink.php?file=cj200910/cijLHcS8Nc.txt
Que penses-tu du rapport ?
On fait quoi après ?
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Bonjour,

la suite :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqAiMXZpW1rpTZbSk2J9MnUokYbPT0O2yRy7IR2mY7cCLURDcqLQYoyx2Wu2juiMCKPq1130SsDHcr9qo6-wMeMk_5hkwKejdJcoKc2CyKcpYpKBoRibuLITHjSHTem_3BQHs5ANiXSwpEkeNkh2LaAnMCz5IYXwQfKIFQLE2rCzsEzeGA2Py1Tl-BeEEw0FlRAZlRh4JyACQuqg2thv2k3j8goTQ%3D%3D&attredirects=1

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

===

--> Télécharge et installe UsbFixUsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton Bureau .

• Choisis l' option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
Le fichier USBFix.exe ne veux pas s'installer,une fenêtre s'ouvre est me dit "windows ne parvient pas à accéder au périphérique,d'accès ou au fichier spécifie.Vous ne disposez peut-être pas des autorisations appropriés pour avoir accès à l'élément "
Au début j'ai effectué ceux que tu m'as dit mais mon antivirus Kaspersky a de suite réagi,j'ai continué et il a réagi une 2ème fois en me donnant un nom de fichier qui n'été pas comme le tien.Et maintenant,je n'arrive plus à l'installer.
Ton lien ne marche pas mais quelqu'un du forum a mis le lien "Pimperelle"
On fait quoi maintenant ?
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Re,

le bon lien :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

essaye de supprimer tout ce que tu as téléchargé ou oinstallé et de recommencer.

Règle Kaspersky pour ignorer l'alerte (et ne pas mettre un fichier en quarantaine.

Pour Toolbar S&D ?
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
J'ai essayé pleins de fois d'installer USBFix.exe mais j'ai toujours le même message cité message 13.
J'ai redémarré mon pc et toujours le même message.
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Re,

refais tourner ZHPDiag et poste le rapport.
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
Voilà le lien:
http://www.cijoint.fr/cjlink.php?file=cj200910/cijxXlUiwF.txt
Dis moi si je suis contaminé et par quoi
Merci
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Re,

tu as encore une infection via les supports amovibles.

Il faut que je vérifie un fichier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\System32\ab_bl.sig
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
Je fait comme tu me l'as dit et il y a peut-être un problème.
J'entre le nom du fichier dans l'encadrement de recherche,il trouve le fichier et je clique sur envoyé fichier.
Une page s'ouvre et me dit "0 Bytes size received\Se ha recibido un archivo vacio"
Voici le lien:
http://www.virustotal.com/vt/fr/recepcion?8001ef191b314af5118c162e1cecbc3d
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Re,

quelle taille a ce fichier quand tu regardes via l'Explorateur Windows ?
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re, Explique moi,je ne comprend pas ce que je doit faire.
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Re,

ouvre l'Explorateur Windows,

cherche le fichier

tu as des informations sur le fichier, dont sa taille.

donne la moi.
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
J'ai tapé le nom du fichier dans recherché,il me l'a trouvé mais je ne peux pas l'ouvrir.
Le type du fichier est Unknown.
C'est bien ça que tu m'as demandé ?
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
Erreur de ma part,je l'ai trouvé.La taille est de 0 octet et c'est un fichier SIG
Messages postés
25175
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 518
Re,

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj200910/cijQ6frQGf.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
############################## | UsbFix V6.043 |

User : Aurore et Yves (Administrateurs) # PC-AURORE-YVES
Update on 21/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 00:00:21 | 22/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 453,76 Go (415,31 Go free) [HDD] # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque CD-ROM
I:\ -> Disque fixe local # 931,51 Go (833,78 Go free) [DD externe 1] # NTFS

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Packard bell\SAXO27\HIDSERVICE.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Packard Bell\Carbonite\CarboniteSetupLitePBPreInstaller.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Windows\system32\conime.exe
C:\Program Files\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe
C:\Program Files\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\FrostWire\FrostWire.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\wmiprvse.exe
Re,
J'ai effectué le scan avec UsbFix
J'ai mis les dvds masters pour le remettre à zéro car j'ai des gros soucis avec un logiciel que j'ai téléchargé sur le forum.
################## | Fichiers # Dossiers infectieux |

I:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.043 ! |
Messages postés
402
Date d'inscription
mercredi 8 avril 2009
Statut
Membre
Dernière intervention
23 septembre 2010
3
Re,
Voilà le rapport de ZHPDiag sur le lien suivant:
http://www.cijoint.fr/cjlink.php?file=cj200910/cijmseZLIi.txt
J'ai vu sur le 1er rapport que je suis infecté par un virus et mon pc est un peu lent par rapport à toute à l'heure.
Merci pour ton aide.