Aide, supprimer "Cheval de troie".
Sonaive
-
jfkpresident Messages postés 13877 Statut Contributeur sécurité -
jfkpresident Messages postés 13877 Statut Contributeur sécurité -
Bonjour,
Alors pour commencer, Avira Antivir personal, a détecté un cheval de troie : " TR/Spy.319488.56"
Mais là, impossible de le mettre en quarantaine, ni même le supprimer.
En lisant quelques forums, j'ai vu qu'il était conseillé de télécharger " Malwarebytes' ".
J'ai bien-évidement lancé l'analyse, et j'attends le rapport.
Mais j'aurais besoin d'une grande aide, pour la suite.
Merci d'avance.
Alors pour commencer, Avira Antivir personal, a détecté un cheval de troie : " TR/Spy.319488.56"
Mais là, impossible de le mettre en quarantaine, ni même le supprimer.
En lisant quelques forums, j'ai vu qu'il était conseillé de télécharger " Malwarebytes' ".
J'ai bien-évidement lancé l'analyse, et j'attends le rapport.
Mais j'aurais besoin d'une grande aide, pour la suite.
Merci d'avance.
A voir également:
- Aide, supprimer "Cheval de troie".
- Supprimer rond bleu whatsapp - Guide
- Impossible de supprimer une page word - Guide
- Impossible de supprimer un fichier - Guide
- Supprimer pub youtube - Accueil - Streaming
- Supprimer application windows 10 - Guide
4 réponses
salut ;
poste moi le rapport de MBAM ,ensuite tu fera ceci :
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
==>Double-clique sur RSIT.exe afin de lancer RSIT.
==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :
log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
==>Rend toi sur ce site: http://www.cijoint.fr/index.php
==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .
==>Copie/colle ce lien dans ta prochaine réponse .
Aide en images si besoin
poste moi le rapport de MBAM ,ensuite tu fera ceci :
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
==>Double-clique sur RSIT.exe afin de lancer RSIT.
==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :
log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
==>Rend toi sur ce site: http://www.cijoint.fr/index.php
==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .
==>Copie/colle ce lien dans ta prochaine réponse .
Aide en images si besoin
le rapport de mbam va etre long au vu des infections que tu as récoltés :(
Alors voici le rapport :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3519
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
08/01/2010 19:13:57
mbam-log-2010-01-08 (19-13-45).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 234337
Temps écoulé: 1 hour(s), 23 minute(s), 17 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 20
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 13
Processus mémoire infecté(s):
C:\documents and settings\mathilde igier\local settings\application data\prtvy.exe (Adware.Navipromo.H) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\fis.amo (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5015bf9d-173c-474b-9af3-77d4d23a4135} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5ed7d3de-6dbe-4516-8712-01b1b64b7057} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ed7d3de-6dbe-4516-8712-01b1b64b7057} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{92c3f342-45da-4511-853a-b3836aaff5f5} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.amo.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.momo (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.momo.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.ohb (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.ohb.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{85e0b171-04fa-11d1-b7da-00a0c90348a7} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{85e0b171-04fa-11d1-b7da-00a0c90348d7} (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7e66936c-fea0-4984-ad26-7b6661ac5b2e} (Adware.Hotbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\UpMedia (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UpMedia (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prtvy (Adware.Navipromo.H) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Dossier(s) infecté(s):
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
C:\WINDOWS\system32\UpMedia (Adware.SmartShopper) -> No action taken.
Fichier(s) infecté(s):
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy.exe (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\weudtjkzja_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\weudtjkzja_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\weudtjkzja.dat (Adware.Navipromo.H) -> No action taken.
C:\WINDOWS\system32\UpMedia\ContentTool.dll (Adware.SmartShopper) -> No action taken.
C:\WINDOWS\system32\UpMedia\SearchTool.dll (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Temp\KIL35DT4.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Temp\upd167.tmp.exe (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Temp\cd15D.tmp (Trojan.Agent) -> No action taken.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3519
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
08/01/2010 19:13:57
mbam-log-2010-01-08 (19-13-45).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 234337
Temps écoulé: 1 hour(s), 23 minute(s), 17 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 20
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 13
Processus mémoire infecté(s):
C:\documents and settings\mathilde igier\local settings\application data\prtvy.exe (Adware.Navipromo.H) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\fis.amo (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5015bf9d-173c-474b-9af3-77d4d23a4135} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5ed7d3de-6dbe-4516-8712-01b1b64b7057} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5ed7d3de-6dbe-4516-8712-01b1b64b7057} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{92c3f342-45da-4511-853a-b3836aaff5f5} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.amo.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.momo (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.momo.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.ohb (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\fis.ohb.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{85e0b171-04fa-11d1-b7da-00a0c90348a7} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{85e0b171-04fa-11d1-b7da-00a0c90348d7} (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7e66936c-fea0-4984-ad26-7b6661ac5b2e} (Adware.Hotbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\UpMedia (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UpMedia (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prtvy (Adware.Navipromo.H) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Dossier(s) infecté(s):
C:\Program Files\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
C:\WINDOWS\system32\UpMedia (Adware.SmartShopper) -> No action taken.
Fichier(s) infecté(s):
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\prtvy.exe (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\weudtjkzja_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\weudtjkzja_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Application Data\weudtjkzja.dat (Adware.Navipromo.H) -> No action taken.
C:\WINDOWS\system32\UpMedia\ContentTool.dll (Adware.SmartShopper) -> No action taken.
C:\WINDOWS\system32\UpMedia\SearchTool.dll (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Temp\KIL35DT4.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Temp\upd167.tmp.exe (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Mathilde Igier\Local Settings\Temp\cd15D.tmp (Trojan.Agent) -> No action taken.
No action taken.
supprimes ce qu'a trouvé mbam .
ensuite :
Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.
Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.
PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt
Fix Navipromo version 4.0.6 commencé le 09/01/2010 4:16:20,92
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.93GHz )
BIOS : Default System BIOS
USER : Mathilde Igier ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
Firewall : Norton Internet Worm Protection 2006 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:127 Go (Free:64 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\WINDOWS\prefetch\prtvy*.pf supprimé !
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Mathilde Igier\locals~1\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
*** Scan terminé 09/01/2010 13:34:05,48 ***
Avira ne me signal plus d'alerte virus.
Je ne sais pas s'il me reste des manipulations à faire, en tout cas, un grand merci.
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.93GHz )
BIOS : Default System BIOS
USER : Mathilde Igier ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
Firewall : Norton Internet Worm Protection 2006 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:127 Go (Free:64 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\WINDOWS\prefetch\prtvy*.pf supprimé !
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Mathilde Igier\locals~1\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
*** Scan terminé 09/01/2010 13:34:05,48 ***
Avira ne me signal plus d'alerte virus.
Je ne sais pas s'il me reste des manipulations à faire, en tout cas, un grand merci.
as tu bien supprimé les éléments infectés avec mbam ?
• Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
• Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
Voilà le premier :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijcl5WUrS.txt
Ainsi que le deuxième :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijLFBaXrp.txt
Le rapport de MBAM n'est pas encore finit.