Cheval de troie

Question

Bonjour,

mon anti virus (avira) m'informe qu'il y a un cheval de troie dans mon système. Comment fait-on pour le supprimer ? 

Je vous remercie pour votre aide

jfkpresident · Answer

Hello ;

Comment fait-on pour le supprimer ? 

Quels sont les actions que t'as proposé Antivir lors de la détection ?

gwenissa · Answer

il m'a proposé de le supprimer ou de le mettre en quarantaine. j'ai testé les 2 mais il est toujours là.

J'ai tenté de faire un scan général avec Antivir mais il bloque à 80% et l'ordi se bloque .

jfkpresident · Answer

Ok ,on va regarder ça de plus pres :

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

==>Double-clique sur RSIT.exe afin de lancer RSIT.

==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :

log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

==>Rend toi sur ce site: http://www.cijoint.fr/index.php

==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .

==>Copie/colle ce lien dans ta prochaine réponse .

Aide en images si besoin

gwenissa · Answer

le message m'indiquant le cheval de troie n'apparait plus pour le moment , mais au demarrage on me dit qu'il me manque un fichier  ...

je fais quand meme tout ce que tu m'as indiqué

gwenissa · Answer

http://www.cijoint.fr/cjlink.php?file=cj201001/cijn4cP9J2.txt

http://www.cijoint.fr/cjlink.php?file=cj201001/cijmaZkIEY.txt

jfkpresident · Answer

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

gwenissa · Answer

l'analyse était en train de se faire ( il avait détecté 1 fichier infecté en 23 minutes) et ca s'est bloqué ("le programme ne répond pas " ). J'ai du redemarrer l'ordi.

 Je retente une analyse.

En attendant, voici le message d'erreur qu'il m'apparait au demarrage : "Run DLL  Erreur de chargement de C:\windows\system32\sshnas21.dll  Le module spécifié est introuvable"

jfkpresident · Answer

Regarde ici pour supprimer ce message d'avertissement .

C:\windows\system32\sshnas21.dll est un malware ==> http://www.superantispyware.com/malwarefiles/SSHNAS21.DLL.html

gwenissa · Answer

que ce soit Malwarebytes Anti-Malware ou SUPERAntiSpyware , les analyses bloquent avant la fin ... 

que dois je faire ?

Utilisateur anonyme · Answer

Salut gwenissa ,

Pour avancer fais ceci :


• Télécharge UsbFix sur ton Bureau : 

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir. 

• Double clic sur UsbFix.exe présent sur ton bureau . 

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée] 

• Ton bureau disparaîtra et le pc redémarrera. 

• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil. 

• Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau. 

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt ) 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

• Tuto : http://pagesperso-orange.fr/NosTools/tuto_usbfix3.html
• Home : http://pagesperso-orange.fr/NosTools/usbfix.html

gwenissa · Answer

voici le rapport 


############################## | UsbFix V6.082 |

User : Gwen (Administrateurs) # PC-DE-GWEN
Update on 29/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:43:28 | 29/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU             575  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 136,05 Go (89,75 Go free) [OS] # NTFS
D:\ -> Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe 448
C:\Windows\system32\csrss.exe 524
C:\Windows\system32\wininit.exe 568
C:\Windows\system32\csrss.exe 576
C:\Windows\system32\services.exe 636
C:\Windows\system32\lsass.exe 652
C:\Windows\system32\lsm.exe 660
C:\Windows\system32\winlogon.exe 668
C:\Windows\system32\svchost.exe 856
C:\Windows\system32\svchost.exe 952
C:\Windows\System32\svchost.exe 992
C:\Windows\system32\LogonUI.exe 1036
C:\Windows\System32\svchost.exe 1088
C:\Windows\System32\svchost.exe 1160
C:\Windows\system32\svchost.exe 1176
C:\Windows\system32\SLsvc.exe 1288
C:\Windows\system32\svchost.exe 1320
C:\Windows\system32\svchost.exe 1428
C:\Program Files\ATK Hotkey\ASLDRSrv.exe 1580
C:\Windows\System32\spoolsv.exe 1684
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1716
C:\Windows\system32\svchost.exe 1732
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe 1956
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 2012
C:\Windows\system32\svchost.exe 116
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe 316
C:\Program Files\Packard Bell\Packard Bell Recovery Management\Service\ETService.exe 464
C:\Program Files\Google\Update\GoogleUpdate.exe 1028
C:\Windows\system32\lxbkcoms.exe 1280
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe 1400
C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe 2008
C:\Windows\system32\IoctlSvc.exe 2128
C:\Windows\system32\svchost.exe 2164
C:\Windows\system32\svchost.exe 2216
C:\Program Files\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\A5E82D02\16.0.0.125\InstStub.exe 2316
C:\Windows\System32\svchost.exe 2332
C:\Windows\system32	askeng.exe 2340
C:\Windows\system32\userinit.exe 2368
C:\Windows\system32\SearchIndexer.exe 2436
C:\Windows\system32\Dwm.exe 2460
C:\Windows\Explorer.EXE 2512
C:\Windows\system32\WUDFHost.exe 2628
C:\Program Files\ATK Hotkey\Hcontrol.exe 2704
C:\Program Files\ATK Hotkey\MsgTranAgt.exe 2712
C:\Program Files\ATK Hotkey\ATKOSD.exe 2856
C:\Windows\system32	askeng.exe 2888
C:\Program Files\ATK Hotkey\WDC.exe 3176
C:\Windows\system32\wbem\wmiprvse.exe 3332
C:\Windows\system32unonce.exe 3480
C:\Windows\system32\conime.exe 3528

################## | Elements infectieux |

Supprimé ! C:\Users\Gwen\AppData\Local\Temp\Fn0.exe 
Supprimé ! C:\Users\Gwen\AppData\Local\Temp\Fnz.exe 
Supprimé ! C:\Users\Gwen\AppData\Local\Temp\a.dat 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2529752431-2772448181-1925747442-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2713223805-291615816-2697991528-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2713223805-291615816-2697991528-500 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\BMIMZMHMFM]  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]  
Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\LosAlamos]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{4fec2002-c782-11de-9d1c-00248c5dc030}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{72b1afc0-0016-11df-8327-00248c5dc030}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b2ce5f2d-9bc1-11de-b7e9-00248c5dc030}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr 
[27/02/2009 01:01|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[02/11/2009 19:19|-rahs----|0] C:\IO.SYS 
[02/11/2009 19:19|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[26/02/2009 17:27|--a------|646] C:\RHDSetup.log 
[29/01/2010 16:46|--a------|4356] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\Users\Gwen\Desktop\UsbFix_Upload_Me_PC-de-Gwen.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .

jfkpresident · Answer

Bonjour Cédric.

Gwenissa : fait ce que dit Eldesaparecido .

Utilisateur anonyme · Answer

Hello Jfk ;)

Usbfix a été passé : 
https://forums.commentcamarche.net/forum/affich-16350387-cheval-de-troie#11

bonne suite .

jfkpresident · Answer

Gwenissa :

Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

gwenissa · Answer

http://www.cijoint.fr/cjlink.php?file=cj201001/cijyCRj0yM.txt

jfkpresident · Answer

Tu peux relancer MBAM afin de voir si il se lance ?

gwenissa · Answer

ca bloque encore à 20 minutes ...

jfkpresident · Answer

Télécharge gmer
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l’outil est sur l’onglet RootKit/Malware

A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.

gwenissa · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-29 18:52:21
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\Gwen\AppData\Local\Temp\ugtyypob.sys


---- System - GMER 1.0.15 ----

SSDT            AC37D8C4                                                                                             ZwCreateThread
SSDT            AC37D8B0                                                                                             ZwOpenProcess
SSDT            AC37D8B5                                                                                             ZwOpenThread
SSDT            \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys                                                   ZwTerminateProcess [0x915490B0]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 221                                                                        81EB8964 4 Bytes  [C4, D8, 37, AC]
.text           ntkrnlpa.exe!KeSetEvent + 3F1                                                                        81EB8B34 4 Bytes  [B0, D8, 37, AC] {MOV AL, 0xd8; AAA ; LODSB }
.text           ntkrnlpa.exe!KeSetEvent + 40D                                                                        81EB8B50 4 Bytes  [B5, D8, 37, AC] {MOV CH, 0xd8; AAA ; LODSB }
.text           ntkrnlpa.exe!KeSetEvent + 621                                                                        81EB8D64 4 Bytes  [B0, 90, 54, 91] {MOV AL, 0x90; PUSH ESP; XCHG ECX, EAX}
                C:\Program Files\CyberLink\PlayMovie\000.fcl                                                         entry point in "" section [0xAB5DF000]
.clc            C:\Program Files\CyberLink\PlayMovie\000.fcl                                                         unknown last section [0xAB5E0000, 0x1000, 0x00000000]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                [74017817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                 [7406A86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]             [7401BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]       [7400F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                 [740175E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]              [7400E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]  [74048395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]     [7401DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]             [7400FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]              [7400FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]               [740071CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]       [7409CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]          [7403C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]             [7400D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                       [74006853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                      [7400687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[3860] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]         [74012AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                              Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                              Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002243a27e8a                          
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002243a27e8a (not active ControlSet)      

---- EOF - GMER 1.0.15 ----

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".





:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"LosAlamos"=-


:files
c:\windows\system32\sshnas21.dll


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

=============================================

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers : C:\Program Files\Synaptics\SynTP\SynTPEnh.exe       
                                                                 C:\Windows\system32\lxbkcoms.exe       
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

gwenissa · Answer

voici le premier rapport 

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\LosAlamos not found.
========== FILES ==========
File/Folder c:\windows\system32\sshnas21.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Gwen
->Temp folder emptied: 258519977 bytes
->Temporary Internet Files folder emptied: 17683893 bytes
->Java cache emptied: 50090857 bytes
->FireFox cache emptied: 44272851 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 312396157 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6639671 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6214474 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 664,00 mb
 
 
OTM by OldTimer - Version 3.1.7.0 log created on 01292010_205739

Files moved on Reboot...

Registry entries deleted on Reboot...

gwenissa · Answer

le lien pour le premier fichier

http://www.virustotal.com/fr/analisis/06c3d93f48f616e5205f3b5988fd8be7d3f3977873bdcc3fbb48858fe69bf2bb-1243751897

gwenissa · Answer

et voici pour le deuxième fichier 

http://www.virustotal.com/fr/analisis/d71ea4db71454212b592e9e5411d804bac83ddb8788504eebb87f16767768a0d-1257611536

gwenissa · Answer

que dois je faire maintenant ?

jfkpresident · Answer

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X : https://www.bitdefender.fr/ 

la barre anti-popup du (en haut) va se mettre à clignoter, 
clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus. 
Une fois qu'il a terminé colle le rapport ici stp 

tutoriel

gwenissa · Answer

on me dit "impossible d'analyser l'ordinateur contre les virus" , et l'analyse ne se lance pas

gwenissa · Answer

svp aidez moi , mon ordinateur se bloque maintenant au bout d'un moment. 

Windows defender a decteté le trojan win 32 

j'ai des partiels demain et j'ai besoin de mon ordi :s

jfkpresident · Answer

Windows defender a decteté le trojan win 32 

Tu as le chemin du fichier infecté ?

gwenissa · Answer

apparemment c'était dans usbfix... j'ai tout supprimé .

je vais relancer une analyse avec Antivir pour voir

gwenissa · Answer

j'ai meme pas pu finir une analyse rapide de windows defender, l'ordi se bloque

jfkpresident · Answer

Télécharge Dr.Web CureIt sur ton Bureau:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

* Démarre en mode sans échec.
* Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
* Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
* Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
* De retour à la fenêtre principale : clique pour activer "Analyse complète";
* Clique le bouton avec flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

gwenissa · Answer

meme en mode sans echec, la premiere analyse s'est bloquée vers la moitié et après encore une fois l'ordi se bloque complétement

Cheval de troie

32 réponses

Votre réponse

Discussions similaires

Newsletters