Tres lourd trojan. Fermé

Question

Bonjour,

Je poste ici suite à un très gros problème que je ne parviens pas à régler tous seul.

J'étais entrain de télécharger une clé pour word. Une archive, je la scan avec antivir puis antimalwaresbytes rien non plus. je décompresse et ouvre l'exécutable. Une belle connerie qui ne m'aide pas je décide de le fermer et de le supprimer quand soudain survient un pétage de câble de mon ordinateur, et c'est le cas de le dire !

Le pc m'indique qu'il est nécessaire de modifier les paramètres de contrôle de compte utilisateur.
Redémarrer maintenant ou ultérieurement.
J'ai bien entendu choisi ultérieurement afin de me débarrasser de tous cela. Je tente d'accéder à mon antivirus plus moyen...
1er réflex, ctrl+alt+sup afin d'accéder à mon gestionnaire des taches pour voir si une application malsaine ne se serait pas mise en place. A ma grande surprise "echec de l'ouverture du gestionnaires des sécurités...." 
Un message dans le genre impossible d'accéder au gestionnaire. Le pc à changer d'apparence et s'est mis un look Windows millenium. Je tente de faire un scan en ligne avec panda puis le pc reboot en m'affichant qu'il doit y avoir un problème de composant. Plus moyen d'allumer le pc. Il s'arrête à "démarrage de windows" au moment de taper mon mot de passe.

Je viens de mettre un autre disque dur auquel j'ai windows-7 aussi et j'ai booté dessus. Celà me permet de vous écrire ce problème.
J'effectue actuellement un scan de mon disque dur que je suppose contaminé avec antivir, cela ne semble rien donner pour le moment.
Dites moi que me conseillez vous de faire ? Le formatage m'enchante pas trop mais je ne vois que ça pour le moment...
Je compte en attendant vos réponses bombarder de scan antivirus le disque dur.

Merci de votre compréhension

fabul · Answer

Salut,

Je pense que le mot de passe était de trop,belle gaffe,formate.

SerialFF · Answer

Antivir vient de détecter pas mal de connerie que je n'avais pas juste avant l'éxécution, de plus j'ai scanner le serial sur novirusthanks et il s'agissait bien d'un virus.

Je vais tenter de redémarrer sur mon autre disque dur.

fabul · Answer

Utilise drweb-cureit aussi,pas besoin d'installation.

Si tu a un Rootkit par exemple,il va faloir que tu le prenne de front.

Essaie ça:https://www.greatissoftware.com/regrunplat.zip (Sur le Windows infecté)

Tu vérifiera aussi pour un MBR Rootkit a partir du Windows infecté.

Télécharge mbr.exe de Gmer sur le Bureau : mbr.exe
Désactive tes protections et coupe la connexion.
Sous Windows XP : double-clic sur mbr.exe / Sous Windows Vista ou Seven, fait un clic-droit sur mbr.exe et choisit "Exécuter en temps qu'administrateur"
Un rapport sera généré : mbr.log
En cas d'infection,le message MBR rootkit code detected va apparaître dans le rapport.

Si c'est le cas, clic sur le Menu démarrer --> Exécuter, et tape la commande suivante 

Sous XP : "%userprofile%\Bureau\mbr" -f
Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f 
Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !

CMP · Answer

Bonour, 
si je comprends bien, tu as downloadé un crack et le malware ou virus s'est installé en executant le crack.
Ce genre de malware qui bloque les applications et accès au gestionnaire de tâches etc. neccessite un scan avec Malwarebytes, plus éfficace dans ce cas que antivir, mais c'est bien d'effectuer un scan en profondeur avec les deux.

bonne chance!

SerialFF · Answer

En effet Malwarebytes est reccommandé pour ce genre d'application d'ou que je l'utilise afin d'optimiser une meilleure protection.

Je viens de réussir à booter sur mon disque dur "contaminé"
Il m'a demandé de reboot j'ai une nouvelle fois refusé.

Je semble être revenu à l'étape avant que tout plante.
Je ne peux toujours pas utiliser le gestionnaire des taches voila ce qu'il m'indique :


"Echec de l'affichage des options de sécurité et d'arrêt

Le processus d'ouverture de session n'a pas pu afficher les options de sécurité et d'ouverture de session au moyen de la combinaison de touches Ctrl+Alt+Fin. Si le système d'exploitation ne réagit pas, appuyez sur échap ou redemarrez l'ordinateur en appuyant sur son bouton d'alimentation"


Je ne parviens pas éxécuter Malwarebytes

SerialFF · Answer

ni antivir. Antivir n'est plus lancé au démarrage

Je viens de tenter d'executer Malwarebytes et ma barre des taches à changer sa vient tout juste de me bloquer les commandes pour acceder au bureau. Sa doit être un serveur qui a fixé un trojan à Malwarebytes...

Je tente ce que tu dis Fabul

SerialFF · Answer

Merci infiniment de votre soutien, surtout vu l'heure je n'en attendait pas autant ^^

Je suis entrain de faire un scan drweb-cureit et regrunplat.

SerialFF · Answer

Avec Regrun j'ai cliqué sur "start contro" puis "scan virus" et la il m'affiche ceux que je veux laisser ou pas.

Je n'ai pas de "save to file" etc... 
Parcontre j'apercois une fenetre avec une liste de programme comme le gestionnaire des taches, certaines applications sont nouvelles et ressemblent à des virus.
Je continue pour le moment leur tri "effacer" ou "garder"

SerialFF · Answer

C:\Windows\system32\PMIGRATE32.DLL

fabul · Answer

Dit moi si tu peux,les noms des fichiers,surtout ceux qui n'ont pas d'auteur que tu connait.

fabul · Answer

Quand tu redémarrera le PC,il va analyser et prendre le controle avant tout le reste pour te permettre de détecter des Rootkit cachés et supprimer en toute quiétude.

CMP · Answer

J'avais oublié de dire que Malwarebytes doit être executé en mode sans echec pour pouvoir fonctionner, parce que c'est ce malware qui empêche les antivirus antimalware etc de fonctioner.

SerialFF · Answer

Drweb n'a absolument rien trouvé.

Oui j'ai viré beaucoup de choses qui était plutot très étrange.

Il m'a demandé de reboot, mais j'ai peur que sa relance tous les .exe du coup jrelance "fix problems"
pour voir si il y a bien fait le tour. J'ai bien fait il en découvre d'autres.

Les noms dont je ne suis pas sure sont :


avgnt  ( antivir ? ) 
sunjavaupdate
Sidebar
HKCU
Adobe ARM
Nerofiltercheck
Ezprint

fabul · Answer

avgnt ( antivir ? ) oui
sunjavaupdate java
Sidebar Windows
HKCU   ???????? il me faudrait plus de détails sur cela
Adobe ARM Adobe
Nerofiltercheck Nero
Ezprint   Lexmark EZPrint

Pas de crainte,redémarre,il va peut ètre détecter plus au reboot

SerialFF · Answer

Je ne reparviens plus à boot sur le contaminé.
Il stop à "demarrage de windows"

Reg serait il parano et m'aurai fait supprimé un truc de Windows ?!

Je vais relancer reg pour m'occuper de ceux qui sont sure d'être suspect

fabul · Answer

A tu supprimé un truc de Windows?

Si tu a le cd fait une réparration de démarrage

SerialFF · Answer

1er boot cd windows 7
2eme boot Disque dur contaminé
3eme boot Disque dur Clean

Comme ça ?

fabul · Answer

Débranche le clean,je sait pas...

SerialFF · Answer

et si tu m'aidais par teamviewer ?

fabul · Answer

Je n'ai pas ça et je ne connait pas,

Si tu peux me le dire comme ça pour ceux que tu ne sait pas

Item Name:
Author:
Related File:
Type:

SerialFF · Answer

Ben la j'ai plus rien ^^'

pourtant j'ai laissé certains fichiers.

ils me mettent plus que avgnt et reg.

Ben teamviewer ou autres logiciels de prise de contrôle à distance, sa serait plus simple car la je me suis perdu...

fabul · Answer

Reg,en quoi ça consiste?

SerialFF · Answer

c'est regrun soit regunplat...

fabul · Answer

Il se détecte lui mème?

SerialFF · Answer

Non il ne se détecte pas en tant que malware, juste que j'ai plus rien de présent.

Teamviewer n'a pas besoin d'être installer et tu pourras mieux voir par toi meme.

https://www.commentcamarche.net/telecharger/communication/21661-teamviewer/
clique sur version complete gratuite.

Et demarrer sans installer.

Mon ID 

632 981 811

pass :

1472

fabul · Answer

Si tu n'a pas cliqué sur False Positive,il devrait normalement les détecter encore,

Désinstalle le,

installe la version gratuite (le setup est plus récent) tu aurra l'option save to file et tu détectera a nouveau ce qu'il doit détecter,

Ça va ètre plus clair comme ça, (C'est comme le module Start Control)

Télécharge et installe RegRun Reanimator.

Clic sur scan for viruses / scan windows startup.

Coche la case "Use deep level scanning once".

Clic sur "Make scan now".

Clic sur la flèche verte "Fix problems".

Quand il te proposera d'utiliser RegGuard,clic sur "Non".

Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")

Clic sur la flèche verte (en haut a droite) pour l'item suivant

Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt

Ainsi de suite jusqu'au dernier ensuite,choisit "Exit" quand il te le sera proposé.

Et donne moi les résultats contenus dans tous les fichiers 1.txt 2.txt 3.txt....

SerialFF · Answer

je suis actuellement boot sur mon disque dur clean.

je viens de faire ce que tu m'as dit, il m'indique que tout est clean il m'a donc rien demander d'autres après "make scan"

SerialFF · Answer

je laisse mon teamviewer activé au cas ou tu serais partant de voir ce que ça fait en vrai ^^'

fabul · Answer

Tu ne peut pas analyser un Windows qui n'est pas éveillé,a partir d'un autre Windows.

Il y a l'option Scan target computer mais (en réseau).

Il analyse soit l'ordinateur sur lequel il est installé ou soit un ordinateur en réseau.

Si l'autre ne boot plus,réessaie,ou il faudrait le réparer avec le cd.

Il est tard et je me suis levé tot,je ne vais pas tarder a ronfler.

SerialFF · Answer

mais comment pourrais je mettre en réseau le disque dur contaminé si je ne peux meme pas l'allumé ?

de plus on dirait que le trojan me prive de mes droits d'utilisateurs donc pour établir un réseau...

fabul · Answer

As tu essayé de réparrer le démarrage avec le cd?

Des fois,il faut s'y reprendre a plusieurs reprises.

En tout cas,je vais te souhaiter bonne nuit et bonne chance,

@+

SerialFF · Answer

je vais tenter.

SerialFF · Answer

Tu seras disponible aujourd'hui ?

Merci de ton soutien

SerialFF · Answer

J'ai finalement formaté....

Merci de votre soutien

Tres lourd trojan.

34 réponses

Discussions similaires