Xp Internet security 2010 a encore frappé! [Résolu/Fermé]

Signaler
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010
-
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
-
Bonjour,
Le cheval de Troie xp Internet security 2010 vient de s installer sur mon ordi et me bloque les accès sur Internet et a ts mes logiciels de sécurité style malwarebite (ou un nom similaire, un classique parmi ce que vous conseillez generalement). Pour feinter suis passée en mode sans échec mais oh surprise ça ne bloque pas le Cheval Troie qui demeure tout aussi actif! Que dois je faire dans ce cas la?En vous remerciant pour votre aide!

17 réponses

Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Bonjour,

bloquet-il ceci (si oui, essaye de le renommer en ZHPDiag.com le fichier ZHPDiag.exe qui est dans C:\Program Files\ZHPDiag et de le relancer) :

Télécharge [url=https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html][B][COLOR="Blue"]ZHPDiag[/COLOR][/B][/url]

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

j'ai comme l'impression que mon message ne souhaite pas être publié..peut être car le rapport est trop long?

voici le condensé de ma réponse:

merci! viens de réaliser que le cheval de troie bloquait seulement l'accès a internet explorer mais pas à google chrome, j'ai donc fini par accéder à Internet (mon premier message était rédigé via un smartphone) et à télécharger le logiciel.

voici donc le rapport: (...)



et le lien demandé: http://www.cijoint.fr/cjlink.php?file=cj201003/cij4svGFxT.txt
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Re,

Copie dans le Presse-papier la ligne ci-dessous (sélectionne le avec la souris et fais simultanément Ctrl et C)

O67 - Shell Spawning: <.exe> <secfile>[HKCU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\asus\Local Settings\Application Data\ave.exe


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que la ligne que je t'ai demandé de copier (et seulement elle) est dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de cette ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Si Internet Explorer ne fonctionne toujours pas, ouvre le.

Clique sur Outils puis Options Internet.

Choisis l'onglet Connexions et clique sur Paramètres réseau.

Décoche la case devant "utiliser un serveur proxy ...".

===

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

Bonsoir,

Merci beaucoup pour tes directives. Je les ai suivi pas à pas, et en apparence en tout cas tout semble être revenu à la normale.

Voici les deux rapports. le premier de ZHP fix et le suivant de Malwarebytes.

1.ZHPFix v1.12.3075 by Nicolas Coolman - Rapport de suppression du 18/03/2010 21:30:35
Fichier d'export Registre : C:\ZHPExportRegistry-18-03-2010-21-30-35.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
O67 - Shell Spawning: <.exe> <secfile>[HKCU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\asus\Local Settings\Application Data\ave.exe => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
c:\documents and settings\asus\local settings\application data\ave.exe => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan

2.

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3883
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/03/2010 21:48:23
mbam-log-2010-03-18 (21-48-23).txt

Type de recherche: Examen rapide
Eléments examinés: 143693
Temps écoulé: 8 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\asus\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Bonsoir,

fais redémarrer l'ordi, refais tourner ZHPDiag et poste le nouveau rapport dans un lien Cijoint.
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

c'est fait, ci-joint le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201003/cij2ZZYcF2.txt
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Re,

des restes d'une infection "par support amovible";

--> Télécharge et installe UsbFix (de Chiquitine29) sur ton Bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
hxxp://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton Bureau .

* Choisis l' option 2 ( Suppression )
* Ton bureau disparaitra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

===

mets à jour ta console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

===

Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

https://www.malekal.com/tutorial-online-armor-free/
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

voici le lien pour le premier rapport:
http://www.cijoint.fr/cjlink.php?file=cj201003/cij7FRN13e.txt

voici pour le rapport de javaralog:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Mar 19 00:22:45 2010

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_07\bin\

------------------------------------

Finished reporting.

Et le par feu est installé
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Re,

USBFix n'a pas traité ce résidu.

Relance ZHPDiag, clique sur le Tournevis, clique sur Aucun et coche la case devant la ligne MountPoints2 Shell Key (MPSK) (O51).

Clique sur la loupe pour lancer l'analyse.

Quand le rapport est apparu, clique sur l'ecusson vert qui est apparu pour lancer ZHPFix (et faire apparaître le rapport de ZHPDiag).

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Coche la case devant cette ligne (et elle seule) :

O51 - MPSK:{99d621e8-1bd5-11de-836a-0018f3b8dbc7}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- wdsync.exe (.not file.)


Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

Bonsoir!

Hum mon rapport de ZHP fix ne me sort pas cette ligne la.

voici le lien pour le rapport de ZHPDiag, si tu veux regarder:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijh8xIIIS.txt
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Bonsoir,

relance ZHPDiag sans toucher aux options en cliquant directement sur la loupe.

Poste le rapport dans un lien Cijoint.
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

voici le rapport, mais je ne vois toujours pas de 051.
serait-ce possible qu'il soit dans mon disque dur externe et ma clé usb? je ne les ai pas connecté à l'ordi lors de ces dernières recherches.
http://www.cijoint.fr/cjlink.php?file=cj201003/cijy3aTuIx.txt
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Re,

hier à 22h16, la clé est dans le rapport de ZHPDiag (post 6).

Depuis, à part USBFix, qui ne l'a pas vu, et le reste de ce que je t'ai demandé de faire, tu as fait quelque chose ?
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

ni plus ni moins que ce que tu m'avais indiqué. jla seule difference était qu'hier j'avais branché lors des scan ma clé usb et mon disque dur externe et pas aujourd'hui...
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

aaah je sais! au fait il y a eu deux rapports de usbfix hier, et je ne t'ai envoyé que le deuxième, car j'ai eu un problème avec les branchements de ma clé usb et mon disque dur externe! Je pensais pas que ça allait faire une difference.
Du coup si ce lien devait apparaitre dans le rapport d'usbfix pour signaler qu'il a été traité, tu n'as effectivement pas pu le voir, car il a du apparaitre dans le premier! ça doit être ça!
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Re,

oui, c'est ça.

Je regarde le rapport et je te dis demain.
Messages postés
20
Date d'inscription
vendredi 5 décembre 2008
Statut
Membre
Dernière intervention
30 mars 2010

Bon je pense que c'est sans doute bon. Ne l'ayant pas encore fait, je souhaite te remercier chaleureusement pour ton aide qui a été incroyablement rapide, personnalisée et efficace! Merci mille fois!!
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 531
Bonjour,

ouh là, j'avais perdu ta trace.

Tu me remets un rapport ZHPDiag.