PC infecté de trojans

Question

Bonjour,
Au cours d'une partie (jeux en reseau sur le net) jme suis fait infecter mon ordinateur de trojans (un trés grand nombre) et depuis je galère. J'ai des pages internet qui s'ouvrent, j'ai du mal à surfer où je veux (je ne tombe pas sur les pages que je demande) et j'ai peur que ca s'aggrave. Norton m'en trouvent tous les jours et les bloquent mais je ne sais pas s'il répare (j'ai des messages de chemin introuvable qui apparaissent).
Que dois-je faire?

Xplode · Answer

Salut,

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cijoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

FloWeps · Answer

salut, 
merci de m'aider je ne sais pas si j'ai bien compris, je te poste le lien sur lequel j'ai déposé le scan: http://www.cijoint.fr/cjlink.php?file=cj200912/cijOmMRKOC.txt

Xplode · Answer

-+-+-+-> Toolbar S&D <-+-+-+- [x]Télécharge http://eric71.geekstogo.com/tools/ToolBarSD.exe Toolbar S&D] sur ton bureau [x] Suis le tutoriel disponible à cette adresse /!\ Si tu es sous vista, lance le en cliquant droit dessus puis " Executer en tant qu'administrateur " /!\ [x] Lance l'option 2 ( Suppression ) [x] Puis copie/colle le rapport dans ton prochain message ( Il se trouve sous C:\TB.txt ) -+-+-+-> USBfix ( Infections USB ) <-+-+-+- [x] Télécharge USBfix ( de Chiquitine29 ) [x] Un tutoriel est disponible ici [x] Installe le /!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\ [x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista ) [x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée. [x] Au menu principal, choisis l'option 2 [x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

FloWeps · Answer

Norton reconnait toolbar commeun virus

Xplode · Answer

Désactive le pendant la procédure.

FloWeps · Answer

voila le rapport toolbar (encore merci). Qu'entend tu par branche tous les amovibles ?
 -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3500+ )
   BIOS : Phoenix - Award BIOS v6.00PG
   USER : Administrateur ( Administrator )
   BOOT : Normal boot
   Antivirus : Norton AntiVirus 17.1.0.19 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:19 Go (Free:3 Go)
   D:\ (CD or DVD)
   E:\ (Local Disk) - NTFS - Total:156 Go (Free:83 Go)
   F:\ (USB)
   G:\ (Local Disk) - NTFS - Total:372 Go (Free:230 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 05/12/2009|13:55 )

   -----------\ SUPPRESSION

   Supprime! - [Service] ASKService
   Supprime! - [Service] ASKUpgrade
   Supprime! - C:\Program Files\AskBarDis\bar
   Supprime! - C:\Program Files\AskBarDis\unins000.dat
   Supprime! - C:\Program Files\AskBarDis\unins000.exe
   Supprime! - C:\Program Files\AskBarDis

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Administrateur) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start page"="https://www.google.com/?gws_rd=ssl"
   "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
   "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
   "Search Bar"="https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\ADMINI~1\Recent\fritz 10 crack.rar.lnk



   1 - "C:\ToolBar SD\TB_1.txt" - 05/12/2009|13:54 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 05/12/2009|13:56 - Option : [2]

   -----------\  Fin du rapport a 13:56:27,26

Xplode · Answer

Médias amovible = Clés USB, Disques Dur externes, Carte SD, MP3, Iphone etc..

Tout ce qui se branche sur un port USB et qui peut contenir des données en clair.

FloWeps · Answer

t'as reçu le rapport USB fixe?

Xplode · Answer

Non, heberge le sur cijoint si ca ne passe pas.

FloWeps · Answer

voila: http://www.cijoint.fr/cjlink.php?file=cj200912/cijRKs0Qjt.txt

Xplode · Answer

"E:\eMule\Incoming\ Microsoft Windows Key Gen. 2003 or XP Pro or Office-XP keygen(1).zip"
-> Contain : XPKey.exe        49152    DFLT-X   64%      17760  12-01-2002 00:00:00 ff2b7008 

"G:\Incoming\Warcraft_3_III_Reign_of_Chaos_crack_nocd+cd_keygen.rar" 
-> contain :  Crack\War3.exe

"G:\Incoming\Warcraft_3_III_Reign_of_Chaos_crack_nocd+cd_keygen.rar" 
-> contain :  Crack\warcraft3 keygen.exe

"G:\Incoming\Warcraft_3_III_Reign_of_Chaos_crack_nocd+cd_keygen.rar" 
-> contain :  Crack\WorldEdit.exe



---> A supprimer, source d'infections.

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien dans le grand encadré jaune ( vide ) :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijmppd0lm.txt

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

roro04 · Answer

Salut FloXeps.

Essaie de télécharger Spybot Search & Destroy sur https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

Met le à jour et fait une analyse à l'aide de https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

(Met le à jour avant).
Refais bien un scan si il te détecte des virus et qu'il te les supprimes. (un virus peut en cacher un autre.
Entre chaque scan, redémarre bien ton ordi.



Bonne chance.

roro04 · Answer

Continu bien à faire ce que te dit Xplod.

FloWeps · Answer

j'ai rien qui apparait dans l'encadré jaune quand je clique sur le H bleu

Xplode · Answer

C'est normal, c'est justement dans cet encadré vide que tu dois copier/coller les lignes présentes dans le lien que je t'ai passé.

FloWeps · Answer

ca me donne ça:
ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 05/12/2009 15:07:30
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
"E:\eMule\Incoming\ Microsoft Windows Key Gen. 2003 or XP Pro or Office-XP keygen(1).zip" -> Contain : XPKey.exe 49152 DFLT-X 64% 17760 12-01-2002 00:00:00 ff2b7008 "G:\Incoming\Warcraft_3_III_Reign_of_Chaos_crack_nocd+cd_keygen.rar" -> contain : Crack\War3.exe "G:\Incoming\Warcraft_3_III_Reign_of_Chaos_crack_nocd+cd_keygen.rar" -> contain : Crack\warcraft3 keygen.exe "G:\Incoming\Warcraft_3_III_Reign_of_Chaos_crack_nocd+cd_keygen.rar" -> contain : Crack\WorldEdit.exe  => Format Non supporté


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 1


End of the scan

roro04 · Answer

Essaie de faire avec Spybot FloWeps.
Si quelqu'un à deux minutes pour aller voir mon poste SVP.https://forums.commentcamarche.net/forum/affich-15445528-creations-raccourcis-avec-oppenoffice
C'est juste un problème de raccourcis. 

Merci d'avance.

FloWeps · Answer

scuse je refais j'avais pas vu le lien

Xplode · Answer

FloWeps,

Il faut pas que tu copies colle ca !

Il faut que tu copies/colle le contenu du lien cjoint dans ZHPfix.

FloWeps · Answer

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 05/12/2009 15:14:35
Fichier d'export Registre : C:\ZHPExportRegistry-05-12-2009-15-14-35.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: (no name) - {1064C852-EFC2-4CE9-9880-48F8E6332DC3} - C:\WINDOWS\System32\docprop32.dll  => Clé supprimée avec succès
O20 - Winlogon Notify: c4e1751d705 - C:\WINDOWS\System32\icwphbk32.dll  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
O20 - AppInit_DLLs: C:\WINDOWS\System32\icwphbk32.dll  => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
c:\windows\system32\docprop32.dll  => Supprimé et mis en quarantaine
c:\windows\system32\icwphbk32.dll  => Supprimé et mis en quarantaine
c:\windows\system32\icwphbk32.dll  => Fichier absent
c:\windows\system32\fwcfg32.dll  => Fichier absent
c:\windows\system32\d8f.tmp  => Supprimé et mis en quarantaine
c:\windows\system32\unrar.exe  => Supprimé et mis en quarantaine
C:\WINDOWS\System32\unrar.dll (Trojan.Vundo)   => Supprimé et mis en quarantaine
c:\windows\system32\fltlib32.dll  => Fichier absent
c:\windows\system32\347153741  => Supprimé et mis en quarantaine
c:\windows\system32\1155626269  => Supprimé et mis en quarantaine
c:\windows\system32\docprop32.dll  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 11
Logiciel : 0
Autre : 0


End of the scan

Xplode · Answer

Refais un ZHPDiag stp

FloWeps · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cij9fWYXyq.txt

FloWeps · Answer

Celui qui m'a envoyé ca , ca lui sert à quelque chose ou c'est juste pour faire chier?

Xplode · Answer

Je suis de retour ;-) -+-+-+-> ZHPfix <-+-+-+- [x] Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ". [x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien dans le grand encadré jaune ( vide ) : http://www.cijoint.fr/cjlink.php?file=cj200912/cijmZ2ZINc.txt [x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". [x] Copie/Colle le rapport à l'écran dans ton prochain message -+-+-+-> Malwarebyte's Anti-Malware <-+-+-+- [x] Télécharge Malwarebyte's anti-malware [x] Installe le en prenant soin de le mettre à jour à la fin de l'installation. [x] Lance un scan complet. [x] Coche bien tout les éléments trouvés et supprime les. [x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's. [x] N'oublie pas de vider la quarantaine de malwarebyte's. Nb : Un tutoriel pour son utilisation est disponible à cette adresse

FloWeps · Answer

Le rapport ZHPfixe :

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 05/12/2009 16:38:50
Fichier d'export Registre : C:\ZHPExportRegistry-05-12-2009-16-38-50.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O20 - Winlogon Notify: c4e1751d705 - C:\WINDOWS\System32\icwphbk32.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\icwphbk32.dll O44 - LFC:Last File Created 02/12/2009 - 17:00:00 ---A- C:\WINDOWS\GnuHashes.ini O44 - LFC:Last File Created 05/12/2009 - 15:14:36 ---A- C:\WINDOWS\System32\icwphbk32.dll  => Clé absente

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\icwphbk32.dll file created 05/12/2009 - 15:14:36 ---a- c:\windows\system32\icwphbk32.dll  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan

FloWeps · Answer

enfin, le rapport malwarebyts':
http://www.cijoint.fr/cjlink.php?file=cj200912/cijcC5SW09.txt

Xplode · Answer

Bien, refais maintenant un nouveau ZHPDiag

FloWeps · Answer

Voila pour le nouveau ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj200912/cij6WrjOA6.txt

FloWeps · Answer

Salut, j'ai vu que tu était en ligne et je voulais savoir (si tu as le temps) si tu avais pu analyser mon rapport ZHPDiag? encore merci

Xplode · Answer

-+-+-+-> SuperAntiSpyware <-+-+-+-


[x] Télécharge SuperAntiSpyware.

[x] Installe le avec les paramètres par défaut.

[x] A la fin de l'installation, il se lancera et te demandera de choisir la langue du programme, choisis français.

[x] Le programme te proposera ensuite de le mettre à jour, fait le.

[x] Un assistant de configuration s'ouvrira, fais suivant en laissant les paramètres par défaut

[x] SuperAntiSpyware s'ouvrira. Clique sur " Scanner votre ordinateur ".

[x] Coche " Executer scan complet " et clique sur " Suivant ".

[x] Laisse le scan s'opérer.

[x] A la fin du scan, vérifie que tout est coché puis clique sur " Suivant " 

[x] Clique ensuite sur terminer, puis clique sur " Préférences ".

[x] Va à l'onglet " Statistiques/Journaux de bord " , séléctionne celui en date d'aujourd'hui puis clique sur " Voir le journal de bord "

[x] Copie/Colle son contenu dans ton prochain message.

[x] Note : tu peux vider la quarantaine ( " La gestion de la quarantaine " au menu principal )

FloWeps · Answer

Salut, j'ai essayé de te poster le scan mais ça ne passe pas. je te l'envoie sur cijoint mais comme ils n'accepte pas les extensions log il faut l'enregistrer (mais tu dois déjà le savoir):
http://www.cijoint.fr/cjlink.php?file=cj200912/cijOH4m3JM.txt

Xplode · Answer

Ok tu peux désinstaller superantispyware.

On continue :

-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Copie/Colle leur contenu dans ton prochain message.

FloWeps · Answer

Pour superAnispyware, je le garde on sait jamais ça peut toujours re servir (non ?)

info.txt : http://www.cijoint.fr/cjlink.php?file=cj200912/cijOLhtkfE.txt
log.txt : http://www.cijoint.fr/cjlink.php?file=cj200912/cij5xKMcI3.txt

FloWeps · Answer

Salut Xplode, j'ai encore reçu un message d'hameçonnage :  vip-protectionv8.cn si tu c'est quoi faire n'hésite pas.

PC infecté de trojans

34 réponses

Votre réponse

Newsletters