Cheval de Troie Rogue:W32/DotTorrent.A

Résolu
malabata02 Messages postés 46 Statut Membre -  
 gen-hackman -
Bonjour,

Je suis vicitme du virus "Cheval de Troie Rogue:W32/DotTorrent.A" : fond d'écran qui bloque toutes les applications, y compris en mode sans échec...
Quelqu'un pourrait il m'aider à supprimer ce virus svp?
Merci mille fois par avance !

Petite précision : j'utilise vista sur un laptop

32 réponses

  • 1
  • 2
Résumé de la discussion

Le problème décrit concerne un cheval de Troie Rogue:W32/DotTorrent.A où le fond d'écran bloque toutes les applications, y compris en mode sans échec, sur un notebook équipé de Windows Vista. Des solutions proposées s'appuient sur des outils anti-malware externes tels que DrWeb CureIt et Malwarebytes, ainsi que sur le démarrage sur CD/DVD pour lancer des procédures de nettoyage indépendantes du système. Certaines réponses évoquent aussi l'utilisation de scripts ou de rapports d’analyse pour orienter l’intervention et vérifier l’état du système après nettoyage, afin d'évaluer l'ampleur de l'infection. Un lien vers un rapport Malwarebytes a été partagé pour étayer le diagnostic et guider les étapes de nettoyage, notamment l'identification des éléments suspects et la vérification post-traitement.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    drWeb ne traite pas uniquement que viruT

    essaie comme ceci dans ce cas

    http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html
    3
    1. malabata02 Messages postés 46 Statut Membre
       
      merci.
      Que dois je faire précisément? Me connecter sur ce lien depuis mon pc infecté et télécharger le CD?
      0
  2. gen-hackman
     
    bien parfait j attends le rapport
    3
    1. malabata02 Messages postés 46 Statut Membre
       
      je te l'envoie sur ci-joint?
      http://www.cijoint.fr/cjlink.php?file=cj201004/cijRItxkNV.txt
      0
    2. malabata02 Messages postés 46 Statut Membre
       
      hello Gen!

      tu es toujours là?
      0
  3. gen-hackman
     
    non sur un pc sain , tu le telecharges , tu le graves et tu lances le pc dessus

    s'il ne part pas sur le cd , il faut tapoter sur F2 pour atteindre le bios et regler le cd en premier demarrage dans le menu "boot"
    puis valider avec F10 , placer le cd dans le lecteur et confirmer par "yes"

    ton pc devrait redemarrer et lancer sur le cd
    1
    1. malabata02 Messages postés 46 Statut Membre
       
      ok
      je me lance
      merci
      0
    2. malabata02 Messages postés 46 Statut Membre
       
      j'ai refait la procédure 2 fois, ma session sous vista pro se lance normalement et je reviens au fond d'écran généré par le Virus. Ai je raté quelque chose?
      0
    3. malabata02 Messages postés 46 Statut Membre
       
      je viens d'ouvrir une session en tant qu'administrateur. J'ai donc de nouveau accès à toutes les commandes. Ai je la possibilité de dégager le virus à partir de cette session, d'une autre manière qu'avec le CD?
      0
    4. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
       
      Non fais pas . Le MBR est touché si tu as redémarré.
      Je viens de droper le fichier à Cedric USBfix, (merci m0e), mais pour là suis bien la manip du live.
      0
    5. malabata02 Messages postés 46 Statut Membre
       
      ok
      je vérifie la gravure
      0
  4. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Salut,
    Petite précision: Arrêtes le P2P.
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      Bonjour,
      Il s'agit d'un PC pro, aucun logiciel de P2P utilisé...
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Car : Cheval de Troie Rogue:W32/DotTorrent.A", ne vient pas d'un fichier Office...
    Ou alors Clef usb infecte ?
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      Je ne sais pas. Le PC était connecté en wifi à internet, sans être utilisé. Je n'ai pas mis de clé USB sur ce PC aujourd'hui, j'ai juste vérifié mes mails à 14h et ouvert mozilla. A 15h, le fond d'écran était affiché avec plusieurs pages internet...
      une idée pour le désinfecter stp?
      0
  7. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Oui plusieurs idées :)
    Mais moi je viens de recevoir 2 machines infectes ici, alors je ne peux pas continuer.
    Un helper te prendra en charge sous peu , t'inquiètes :)
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      ok merci

      Dans l'attente de votre aide à tous.
      Merci encore
      0
  8. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    PS: Avis au helpers : Possibilité de variante 'viruT'...
    je file , entre-temps malabata02 , n'exécute aucun logiciel et reste ici sur le forum seulement. au cas ou ...
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      ok merci
      j'attends ici
      0
  9. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Petit up rapide you ou! les helpers !!!!
    0
  10. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Ouais ... Entre-temps ne va pas ailleur, car même le temps joue contre toi si mes impressions s'avèrent juste, mais lis ceci ça nuira pas :)
    http://www.commentcamarche.net/faq/16138-comment-supprimer-virut
    Mais ne fais rien et si tu as une autre machine, déconnectes celle-ci du NET.
    Sinon bouges pas.
    Je suis vraiment désolé mais j'en ai plein les mains et la tête ici .
    0
  11. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Ok alors c'est un peu mieux, mais pas la joie totale. Ne redémarres surtout pas ta machine.
    Un helper va bien venir un jour.
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      Pas de pbm, je patiente.
      L'analyse en ligne de F secure est terminée (je l'ai lancée avant de m'inscrire ici). Le rapport est affiché. Je ne touche plus à rien.
      Je communique avec mon PC fixe.
      0
  12. gen-hackman
     
    salut :

    ▶ Sauver les Docs sans les fichiers cible.

    il faut sauvegarder uniquement tes photos , tes musiques , tes video ,sur un support externe,de preference gravé.

    toute autre sauvegarde serait fortuite à la bonne marche de la désinfection (ni programmes,cracks ou keygens,aucun executable).

    Ces extensions sont à proscrire : .exe, .scr, .zip, .rar, html, htm, cracks, keygens,Key_générators,serial,patchs,Install , etc......(ces derniers contenant le ver Bagle en prime)
    _______________________________________________

    ▶ Désactive la restauration système, pour cela , suis les instructions des liens:

    Lien XP

    Lien Vista
    _________________________________________________

    ▶ Télécharge ToolsCleaner2 sur ton Bureau.
    * Double-clique sur ToolsCleaner2.exe pour le lancer(clic droit en tant qu'admmin sous Vista).
    * Clique sur Recherche et laisse le scan agir.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options Facultatives.
    * Clique sur Quitter pour obtenir le rapport.
    * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
    _________________________________________________

    ▶ essaies de telecharger les logiciels d'un autre PC et de les graver (les cles usb s'infectant trop facilement)
    ___________________________________________________

    ▶ Télécharge Dr Web CureIt sur ton Bureau :

    ▶ redemarre en mode sans échec

    ▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

    ▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

    ▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    ▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
    ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

    ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

    ensuite :

    tu m'envoies l'archive comme ceci :

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶- Ferme Dr.Web Cureit
    ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

    0
    1. malabata02 Messages postés 46 Statut Membre
       
      salut Gen-hackman,

      Peux tu me confirmer la procédure à suivre stp? car je ne peux absolument pas accéder au bureau, aux applications, à la barre des tâches, au bouton "démarrer", etc...
      Il ne semble pas que ce soit le virut comme je l'ai indiqué juste avant.
      0
  13. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Passage turbo :)
    Assures-toi de bien donner l'odre au BIOS de démarrer en position 1 sur CD/DVD Rom et d,enregistrer la modification.
    Il doit démarrer si bien configuré et si ''tu as bien gravé'' IMAGE ISO ou image disque.
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      Je viens d'ouvrir une session en tant qu'administrateur. J'ai donc de nouveau accès à toutes les commandes. Ai je la possibilité de dégager le virus à partir de cette session, d'une autre manière qu'avec le CD?
      0
  14. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Si le live est pas bon , MD5 par exemple, Gen va te faire passer Combofix, hier je l'ai capté avec Combo :)
    Au moins pour le dégager quelque peu.
    Je traine encore ici moi .... Ok là finito je reviens pas :)
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      merci jalobservateur. je poursuis avec gen
      0
  15. gen-hackman
     
    ok que dit le live ?
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      je reviens vers toi : j'ai refait la gravure au format image, sans changement, ça passe pas. J'ai récupéré combofix par ailleurs?
      0
  16. gen-hackman
     
    ok tu peux le lancer ?
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      alors, je me trouve très bête, tu vas me maudire : je suis passé sur la session admin sous vista et impossible de me souvenir de mon nom d'utilisateur pour ma session perso (j'ai le mot de passe en revanche... )
      comment récupérer ce nom d'utilisateur pour me loguer?
      puis je lancer combo fix depuis la session admin?
      0
  17. gen-hackman
     
    vaut mieux pas.....regarde ici :

    C:\Users\
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      je ne vois pas de nom d'utilisateur. celui donné dans le gestionnaire des comptes utlisateurs ne passe pas...
      help !!
      0
  18. gen-hackman
     
    lance combofix
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      sur le compte admin ok?
      0
  19. gen-hackman
     
    oui
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      c'est lancé. je ne peux pas arreter le systeme de protection TREND installé sur le pC : pas de mot de passe. je poursuis?
      0
  20. gen-hackman
     
    tu peux demarrer en mode sans echec avec prise en charge reseau ?
    0
    1. malabata02 Messages postés 46 Statut Membre
       
      le scan est lancé. une activité de rootkit a été détectée et j'ai redemarré à la demande de combofix.
      0
  21. gen-hackman
     

    __________________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
    ---------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Collect::[4]
    c:\users\Larue G\AppData\Roaming\lowsec\*.*
    c:\windows\system32\pcyqfxhg.dll
    c:\windows\system32\pool.bin
    c:\program files\pdfforge Toolbar\SearchSettings.exe

    Folder::
    c:\users\Larue G\AppData\Roaming\lowsec

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RemoteControl"=-
    "LanguageShortcut"=-
    "Adobe Reader Speed Launcher"=-
    "SearchSettings"=-
    "QuickTime Task"=-
    "iTunesHelper"=-

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
    1. malabata02 Messages postés 46 Statut Membre
       
      ok
      c'est lancé
      0
  • 1
  • 2