Trojan pour aider une amie...

Fermé
Ezekiel78 - 18 juin 2010 à 00:39
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010 - 16 juil. 2010 à 14:21
Bonsoir

Voilà j'ai une amie, qui a choppé ça : TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen et qui forcément voudrait s'en débarrasser.
Maintenant le truc c'est qu'elle est allemande, qu'elle a donc été sur un forum allemand de votre style pour l'aider et la seule solution qu'ils lui donnent : Formater le disque dur.

Donc en faisant l'intermédiaire, je voulais savoir si c'était possible de l'aider, de trouver une autre solution.

Merci de la suite à l'avance de la suite apportée à notre demande.

E.
A voir également:

34 réponses

Utilisateur anonyme
4 juil. 2010 à 21:22
Emprunter un CD identique pour une réparation de ton OS c est tout sauf illégal
Tu crois quand même pas que je te ferai faire une chose illégale !!!Arf !!!!

Exemple >> le copié ,le modifié etc!!!ça c est illégal
0
mais je sais bien. bon là elle est entrain de faire ZHPFix.
0
voila le ZHPFix : http://www.cijoint.fr/cjlink.php?file=cj201007/cijRmC4NwD.txt
0
Utilisateur anonyme
5 juil. 2010 à 04:16
Salut

1)* Lances CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)

2) Lance Internet Explorer .

Clique sur le menu >> Outils puis sur >> Options Internet.
Clique sur >> l'onglet >> Avancé.
Clique ensuite sur le bouton>> Réinitialiser
Dans la fenêtre qui apparait
>> confirme l'opération en cliquant sur le bouton >> Réinitialiser.
Ferme Internet Explorer puis tu le démarre à nouveau.


3) Poste un nouveau Log ZHPdiag
0
Bonjour Virus-C-C
dis donc t'es un lève tôt ? ou un couche tard...^^
Je transmets à mademoiselle.
0
La réinitialisation de IE, il ne faut pas la faire également pour FF ?
0
Utilisateur anonyme
5 juil. 2010 à 14:50
Salut

>> léve tôt .

fais déja ceci !!!!
@+
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
5 juil. 2010 à 21:56
donc voila le ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201007/cijOrytGzu.txt
sinon dans Ccleaner, elle a lancé plusieurs fois la recherche et réparation mais il y a un truc qui reste constamment : https://www.hiboox.fr/
Sinon dans l'après-midi elle a relancé son antivirus qui lui a indiqué un fichier dangereux dans le dossier Restore (tu vois ce que je veux dire ?). elle aurait réussi à s'en débarrasser. Quand elle a rebooté son PC, tout à refonctionner parfaitement pendant une dizaine de minutes, et ensuite freeze, probleme de souris... elle a eu une fausse joie.
0
Salut Ezekiel78

Je ne suis pas toujours au garde à vous derriére le PC , jai un boulot et vie de Famille

1) son antivirus qui lui a indiqué un fichier dangereux dans le dossier Restore (tu vois ce que je veux dire ?)

Pour info

Le dossier System Volume Information est utilisé par Windows pour l'enregistrement de données de configuration du système. Ce dossier est utilisé par l'outil de Restauration du système pour y stocker informations et points de restauration.
Les points de restauration permettent de revenir à la configuration stable qui précédait l'installation d'un pilote ou d'un programme.
En principe, l'accès au dossier System Volume Information est verrouillé, mais un virus peut avoir infecté les points de restauration.

En désinfection
. La purge de la restauration est à faire en fin de désinfection .
. Car si on désactive totalement la restauration du système au cours de la désinfection,
. on se prive d'une possibilté de secours bien utile en cas de problème
. En fait il vaut mieux compter sur une restauration infectée que pas de restauration du tout

Mise à part cas particuliers

2) demande lui si elle connait >> NameServer = 213.191.74.18 62.109.123.197

3) * Relance ZHPDiag refais un scan, ce dernier terminé
* clique sur l'icone en forme d'écusson vert ZHPFix
* ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle le texte en gras ci-dessous dans la fenêtre de ZHPFix

=====================================================


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified



=====================================================



* Clique sur Ok ensuite sur Tous et enfin Nettoyer
* Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran


ensuite



4) Fais analyser le(s) fichier(s) suivants sur Virustotal

>> Virustotal


* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
======================================================

C:\Programme\drvbat

======================================================
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses.
En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé")
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur cette image : Image
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.


aprés

5) Télécharge GMER
> GMER -
* cliques sur >> "Download EXE"
* et télécharge le fichier sur ton bureau.
* Voir le tutorial GMER, ça peut peut-être t'aider :
>> Tutoriel GMER

* Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
* Double-clic sur le fichier GMER téléchargé.
* IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
* Clic sur l'onglet "rootkit"
* Laisse tout coché.
* Clic sur Scan
* Lorsque le scan est terminé, clic sur "Copy"

* Ouvre le bloc-note et clic sur le Menu Edition / Coller
* Le rapport doit alors apparaître.
* Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
6 juil. 2010 à 15:44
ok je transmets.
Mais sinon je me doute bien que tu as des priorités. Je ne disais pas ça dans ce sens. C'était juste pour savoir si quand je mets un com', tu en as une trace, c'est tout.
Merci à toi.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
6 juil. 2010 à 15:47
Re

non c est bon comme tu fais ,ça marche
@+
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
6 juil. 2010 à 21:25
elle est censée en faire quoi de ça : NameServer = 213.191.74.18 62.109.123.197 ?
0
Utilisateur anonyme
6 juil. 2010 à 21:34
re

je t ai demandé si elle connaissait
aprés vérif >>secteur >>Hambourg
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
6 juil. 2010 à 22:32
ZHPFix : http://www.cijoint.fr/cjlink.php?file=cj201007/cij7Xkbbmc.txt

le reste suivra certainement demain...
Bonne soirée et merci encore de nous consacrer un peu de temps. ;)
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
6 juil. 2010 à 22:25
oui j'ai bien compris mais on s'en sert comment de ces nombres ?

Hambourg, vu qu'elle est allemande, ça doit être lié.
0
Connaître son adresse IP


Cliques >> démarrer >> exécuter ou Touche Windows + R
>> tapes >> cmd >>ok
>>Copie/colle >> ipconfig /all >>entrée

ne poste pas ici mais en MP

ensuite fais le reste de la procédure

Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
7 juil. 2010 à 12:51
salut
Ok je transmets. sinon elle a voulu faire Virustotal mais elle dit que le répertoire Progamme\drvbat est vide et qu'elle ne peut le sélectionner, qu'elle peut rien en faire...
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
7 juil. 2010 à 17:28
ok elle a fait la manip pour l'ip et le name server que tu as donné correspond à son DNS Server du PPP-Adapter Alice-DSL
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
15 juil. 2010 à 09:32
Bonjour

Peut-être que Virus-c-C est en vacances ? T'as bien raison si c'est le cas.
Bref est-ce que quelqu'un pourrait reprendre la suite.
Elle avait fait ZHPDiag, Virustotal ça ne fonctionnait pas car le répertoire précisé par Virus-C-C était vide et enfin GMER, c'est pas envisageable sur son PC. Elle l'avait lancé une 1e fois, au bout de 7h seulement 50% de fait. Pensant que yavait un souci elle l'avait stoppé. Elle l'a relancé une deuxieme fois un peu plus longtemps et elle s'est mangée le fameux "écran bleu".
Une autre alternative que GMER ?
Merci à l'avance pour vos réponses.
0
Salut

C:\Programme\drvbat Vide !!


1) Lances Avira Antivir >>Il intègre également un anti-rootkit
>> vérifie qu il est à jour

Fais une analyse du PC

poste le rapport généré

2) Poste un nouveau log ZHPDiag

Comment va son PC

Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
15 juil. 2010 à 15:52
Merci Virus-C-C !!!
1)Alors pour Antivir elle souhaite savoir si elle doit faire unalyse, rapide normale ou autre ?
2)Ensuite ZHPdiag elle le fera cette nuit car à chaque fois ça prend un temps fou.
3)Pour drvbat, tu mets "vide !!". ça t'étonne ? ou c'est normal ?
4) Son PC est toujours pareil. Pour aller sur le net via FF, elle est obligée de passer par le gestionnaire des tâches... le glisser/déposer ne fonctionne plus.
0
Utilisateur anonyme
15 juil. 2010 à 22:51
Salut

ZHPDiag ok pour demain

2)Pour Antivir >> il y a une analyse unique

qu'elle fasse ainsi

A) Affiche les fichiers et dossiers cachés

Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

ensuite ==>

Active le bouton : Afficher les Fichiers et dossiers cachés
Décoche ==>Masquer les fichiers protégés du système d'exploitation (recommandé)
Décoche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements

B) qu elle contrôle qu' Avira est à jour

C) clique sur >> Contrôler syst maintenant

D) enregistre généré sur le rapport sur le bureau

E) Dans l'interface principale :

* onglet "Outils"
* configuration F8
* coche en haut à gauche "mode expert"
* Scanner (colonne de gauche) => Recherche
* Autres réglages coche >> rech. rootkit au dém. de la recherche


Regarde ce tutoriel
Avira Antivir
Premiére Image >> recherche >> la case >>rech. rootkit au dém. de la recherche n est pas cochée >>tu l as coche

F) Rétablis l'affichage des fichiers et dossiers cachés comme ceci
Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

Active le bouton ==> Ne pas afficher les Fichiers et dossiers cachés
Coche ==> Masquer les fichiers protégés du système d'exploitation (recommandé)
Coche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements




Membre Contributeur sécurité CCM
Windows Vista // Windows XP
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
16 juil. 2010 à 10:17
Bonjour
arf je n'avais pas vu ton post pour antivir. elle a fait la manière simple et ça donne http://www.cijoint.fr/cjlink.php?file=cj201007/cijswEV8AU.txt
Et ensuite elle a fait ZHP : http://www.cijoint.fr/cjlink.php?file=cj201007/cijwkoTXvL.txt
Sinon elle précise que via IE son problème et qu'elle ne peut faire de scrolling via la souris. Et son économiseur d'écran ne se lance plus.

Sinon pour antivir ça va ou je lui demande refaire comme tu le souhaites ?
0
Utilisateur anonyme
16 juil. 2010 à 11:18
Salut

Résultats de l analyse Antivir

>> Rootkitscan

3 objets cachés ont été trouvés



lis bien respecte les points 1 et 3 comme décris


1) Affiche les fichiers et dossiers cachés

Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

ensuite ==>

Active le bouton : Afficher les Fichiers et dossiers cachés
Décoche ==>Masquer les fichiers protégés du système d'exploitation (recommandé)
Décoche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements

ensuite

2) ComboFix de sUBs

/!\ Déconnecte-toi du net/!\
---> Double-clique sur ComboFix.exe
* Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
* Surtout, accepte d'installer la console de récupération
---> Mets-le en langue française F
* Tape sur la touche 1 (Yes) pour démarrer le scan.

* Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

* En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

* Note : Le rapport se trouve également là : C:\ComboFix.txt

3) Rétablis l'affichage des fichiers et dossiers cachés comme ceci

Cliques ==>Démarrer ==>Poste de travail==>==> Outils ==> Option des dossiers onglet Affichage

Active le bouton ==> Ne pas afficher les Fichiers et dossiers cachés
Coche ==> Masquer les fichiers protégés du système d'exploitation (recommandé)
Coche ==> Masquer les extensions dont le type est connu
clique sur ==> Appliquer et ==> Ok
pour valider les changements


@+
0
Ezekiel78 Messages postés 24 Date d'inscription dimanche 27 juin 2010 Statut Membre Dernière intervention 8 septembre 2010
16 juil. 2010 à 14:21
ok elle fera ça ce soir/nuit.
Merci.
0
Utilisateur anonyme
18 juin 2010 à 13:11
Salut Ezekiel78

bon je dois partir
fais ceci je regarde ce soir

1) * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
>>AD-Remover

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

* Double-clique sur l'icône Ad-remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
* Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

poste le rapport

ensuite

2) Télécharger et enregistrer lopSD sur ton bureau
>> https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
Double-clic Lop S&D
Faire l'installation
Fermer toutes les applications
Le lancer par un double-clic sur le raccourci qui est sur le bureau

* Avec VISTA => clic-droit et => Exécuter en tant qu'administrateur
Taper F pour français , puis presser entrée
Taper 1 (Recherche)
Presser Entrée
Le PC va redémarrer

* Note= si l'antivirus annonce une infection dans TEMP , l'ignorer
Attendre l'apparition du rapport
Copier le rapport et le coller dans la réponse



@+
-1
Apparemment ma question n'apparait pas. Elle a lancé lopSd mais ça fait déja un bon quart d'heure qu'il reste à sur "recherche d'entrée d'infections Cracks-Keygens" alors que moi je l'ai testé et la recherche n'a même pas duré 1min. est-ce normal ?
sinon pour le rapport de AdRemover : http://www.cijoint.fr/cjlink.php?file=cj201006/cijXcEDSRy.txt
0