Supprimer un trojan
Résolu
Ju
-
fabul Messages postés 45449 Date d'inscription Statut Modérateur Dernière intervention -
fabul Messages postés 45449 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour,
J'ai chopé un trojan "Trojan-Dropper.Win32.Clons.emf", contenu dans fichier "lazylauncher" qui servait à lancer un jeu. J'ai du coup supprimé le fichier, dans l'heure qui suivait, le trojan est-il détruit, ou il faut faire une restauration système ou je ne sais quoi ?
J'ai chopé un trojan "Trojan-Dropper.Win32.Clons.emf", contenu dans fichier "lazylauncher" qui servait à lancer un jeu. J'ai du coup supprimé le fichier, dans l'heure qui suivait, le trojan est-il détruit, ou il faut faire une restauration système ou je ne sais quoi ?
A voir également:
- Supprimer un trojan
- Supprimer rond bleu whatsapp - Guide
- Supprimer page word - Guide
- Impossible de supprimer un fichier - Guide
- Supprimer pub youtube - Accueil - Streaming
- Comment supprimer un compte gmail - Guide
22 réponses
Salut,
Ne redémarre pas ton pc si possible,ça pourrait le bloquer plus.
Si c'était un vrai virus, et non un faux positif,et que tu l'a exécuté.il a été installé et le fait que tu supprime le fichier ne peut rien changer a ça.
De quelle façon est ce arrivé exactement,le virus a été detecté en exécutant le launcher ou avant quand tu l'a décompressé?
Met ton antivirus a jour et fait et une analyse Malwarebytes,si quelque chose est détecté,il y aurra plus lieu de s'inquiéter,
Si rien n'est détecté,on ne peut pas écarté la possibilité que tu soit infecté quand mème.
Quoi qu'il en soit,essaye de désinfecter avant de redémarrer ton pc.
Ne redémarre pas ton pc si possible,ça pourrait le bloquer plus.
Si c'était un vrai virus, et non un faux positif,et que tu l'a exécuté.il a été installé et le fait que tu supprime le fichier ne peut rien changer a ça.
De quelle façon est ce arrivé exactement,le virus a été detecté en exécutant le launcher ou avant quand tu l'a décompressé?
Met ton antivirus a jour et fait et une analyse Malwarebytes,si quelque chose est détecté,il y aurra plus lieu de s'inquiéter,
Si rien n'est détecté,on ne peut pas écarté la possibilité que tu soit infecté quand mème.
Quoi qu'il en soit,essaye de désinfecter avant de redémarrer ton pc.
Merci du coup de pouce.
Alors, j'avais bel et bien supprimé le Trojan, a moins qu'il soit hyper bien planqué, mais j'en ai détecté 6 autres virus qui étaient la depuis un petit bout de temps (je comprends mieux comment je me suis fait hack ^^), et je les ai supprimé, bien que je pense qu'il y a des faux positifs.. Je check qu'il ne reste plus rien.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3805
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
28/02/2010 02:03:36
mbam-log-2010-02-28 (02-03-33).txt
Type de recherche: Examen rapide
Eléments examinés: 115383
Temps écoulé: 18 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rogue.Installer) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1004336348-1659004503-839522115-1004\Dc61.exe (Rogue.BulletProofSpyware) -> No action taken.
C:\Program Files\EditLocal.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\Local.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\RepAnalyser.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\SETUP.EXE (Rogue.Installer) -> No action taken.
Alors, j'avais bel et bien supprimé le Trojan, a moins qu'il soit hyper bien planqué, mais j'en ai détecté 6 autres virus qui étaient la depuis un petit bout de temps (je comprends mieux comment je me suis fait hack ^^), et je les ai supprimé, bien que je pense qu'il y a des faux positifs.. Je check qu'il ne reste plus rien.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3805
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
28/02/2010 02:03:36
mbam-log-2010-02-28 (02-03-33).txt
Type de recherche: Examen rapide
Eléments examinés: 115383
Temps écoulé: 18 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rogue.Installer) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1004336348-1659004503-839522115-1004\Dc61.exe (Rogue.BulletProofSpyware) -> No action taken.
C:\Program Files\EditLocal.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\Local.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\RepAnalyser.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\SETUP.EXE (Rogue.Installer) -> No action taken.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3805
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
28/02/2010 02:03:39
mbam-log-2010-02-28 (02-03-39).txt
Type de recherche: Examen rapide
Eléments examinés: 115383
Temps écoulé: 18 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1004336348-1659004503-839522115-1004\Dc61.exe (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Program Files\EditLocal.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\Local.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\RepAnalyser.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\SETUP.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
Version de la base de données: 3805
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
28/02/2010 02:03:39
mbam-log-2010-02-28 (02-03-39).txt
Type de recherche: Examen rapide
Eléments examinés: 115383
Temps écoulé: 18 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1004336348-1659004503-839522115-1004\Dc61.exe (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
C:\Program Files\EditLocal.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\Local.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\RepAnalyser.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\SETUP.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
As tu encore cet executable quelque part dans une archive?
Tu pourrait le faire analyser sur VirusTotal
Tu pourrait le faire analyser sur VirusTotal
http://www.virustotal.com/fr/analisis/888f215f94c2c682547bc03c4c35db969dc3b8d9328a75bfb72985dcb5158a21-1267315983
Ca mène la:http://info.prevx.com/aboutprogramtext.asp?PX5=CC0000E900BA5C8406EC0847BF19E90097077A51
C'est peut ètre pas si pire.
Mais il ne faut pas vraiement se fier a PrevX
C'est peut ètre pas si pire.
Mais il ne faut pas vraiement se fier a PrevX
Non,ça signifie que tu a peut ètre de la chance et peut ètre que non.
Veut tu qu'on analyse ton système d'une ou deux autres méthodes?
Mais la,je vient de remarquer que tu a fait analyser un fichier zip,
Il faudrait que tu analyse le .exe directement.
Veut tu qu'on analyse ton système d'une ou deux autres méthodes?
Mais la,je vient de remarquer que tu a fait analyser un fichier zip,
Il faudrait que tu analyse le .exe directement.
Ça implique de le dezipper, il n'y a pas de risque que le trojan/virus ou je ne sais quoi revienne ?
Si tu ne l'exécute pas , pas de risque,si tu l'exécute,j'essaierai de te désinfecter lol,mais sans garantie.
:)
ça donne ça http://www.virustotal.com/fr/analisis/99211cdeef1a7c433e1e8d24caa0b515da3396e0f47443e39c72be34f1786a3a-1267318557
soit 2 de + (j'ai extrait le .exe dans un dossier à part puis je l'ai selectionné à partir de virustotal)
ça donne ça http://www.virustotal.com/fr/analisis/99211cdeef1a7c433e1e8d24caa0b515da3396e0f47443e39c72be34f1786a3a-1267318557
soit 2 de + (j'ai extrait le .exe dans un dossier à part puis je l'ai selectionné à partir de virustotal)
C'est assez suspect,mais ça peut aussi ètre un faux positif.
Si tu veux,on peux faire une vérification assez rapide,installe ça:RegRun Reanimator
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Make scan now".
Clic sur la flèche verte "Fix problems".
Si il propose Regguard,répond Non,ou peu importe,c'est a ta discretion.
Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")
Clic sur la flèche verte (en haut a droite) pour l'item suivant
Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt
Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.
Et poste les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....
Si tu veux,on peux faire une vérification assez rapide,installe ça:RegRun Reanimator
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Make scan now".
Clic sur la flèche verte "Fix problems".
Si il propose Regguard,répond Non,ou peu importe,c'est a ta discretion.
Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")
Clic sur la flèche verte (en haut a droite) pour l'item suivant
Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt
Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.
Et poste les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....
Re,
Il n'y en avait que 4 :
Item Name: msacm.lhacm
Author: Microsoft Corporation
Related File: lhacm.acm
Type: Codecs
Item Name: WTClient
Author: Tablet Driver
Related File: WTClient.exe
Type: Registry Run
Item Name: ControlCenter2.0
Author: Brother Industries, Ltd.
Related File: C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
Type: Registry Run
Item Name: Status Monitor.lnk
Author: Brother Industries, Ltd.
Related File: C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
Type: Common Startup Folder
Il n'y en avait que 4 :
Item Name: msacm.lhacm
Author: Microsoft Corporation
Related File: lhacm.acm
Type: Codecs
Item Name: WTClient
Author: Tablet Driver
Related File: WTClient.exe
Type: Registry Run
Item Name: ControlCenter2.0
Author: Brother Industries, Ltd.
Related File: C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
Type: Registry Run
Item Name: Status Monitor.lnk
Author: Brother Industries, Ltd.
Related File: C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
Type: Common Startup Folder
Pas de trouble avec ceux la,ce que tu peut faire,refaire l'analyse,cliquer sur "False positive" pour ces 4 fichiers pour spécifier que ce sont des bon fichiers,
Ensuite faire:
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Reboot". <- Cette fois.
Et ainsi de suite comme tantot,si il détecte quelque chose de nouveau,donne moi les résultats.
Ensuite faire:
Clic sur scan for viruses.
Clic sur scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Reboot". <- Cette fois.
Et ainsi de suite comme tantot,si il détecte quelque chose de nouveau,donne moi les résultats.
Re,
Il n'a rien détecté de nouveau, il semblerait que mon PC soit à présent clean.
Merci du coup de main, je comprends un peu mieux comment ça fonctionne :)
Juste une dernière question, d'où tiens tu cette maitrise informatique ? C'est venu avec le temps ou...?
Il n'a rien détecté de nouveau, il semblerait que mon PC soit à présent clean.
Merci du coup de main, je comprends un peu mieux comment ça fonctionne :)
Juste une dernière question, d'où tiens tu cette maitrise informatique ? C'est venu avec le temps ou...?
J'ai découvert ce programme en cherchant des sollutions contre les malwares,et j'ai bien apprécié,
Dans les débuts,j'ai fait des erreurs de supprimer des bons fichiers "Malheur",Windows ne démarrait plus.
Le programme s'est amélioré depuis le temps,mais il détecte toujour certains bons fichiers (c'est normal).
Et j'ai compris mieux comment ça marche,il faut toujour vérifier si le fichier existe vraiement etc.,(sur Google),
Si tu veut,fait des analyses régulières,quand tu trouve quelque chose de suspect,cherche a deux fois avant de supprimer.
Le driver Partizan est un driver qui ne s'exécute pas sur Windows,mais en mode Windows native api (Comme chkdsk).
Il permet donc des fonctionnalitées spéciales,et supprime avant que Windows ait pris le controle total du système,donc assez puissant.
Si tu veut le désinstaller,Utilise Uninstall Partizan dans l'onglet Uninstall Partizan du programme avant.
Dans les débuts,j'ai fait des erreurs de supprimer des bons fichiers "Malheur",Windows ne démarrait plus.
Le programme s'est amélioré depuis le temps,mais il détecte toujour certains bons fichiers (c'est normal).
Et j'ai compris mieux comment ça marche,il faut toujour vérifier si le fichier existe vraiement etc.,(sur Google),
Si tu veut,fait des analyses régulières,quand tu trouve quelque chose de suspect,cherche a deux fois avant de supprimer.
Le driver Partizan est un driver qui ne s'exécute pas sur Windows,mais en mode Windows native api (Comme chkdsk).
Il permet donc des fonctionnalitées spéciales,et supprime avant que Windows ait pris le controle total du système,donc assez puissant.
Si tu veut le désinstaller,Utilise Uninstall Partizan dans l'onglet Uninstall Partizan du programme avant.
