Infection TR/2ndThoughtRésolu/Fermé

Question

Bonjour la communauté !

Tout d'abord merci aux gens du forum pour votre super boulot, j'ai déjà pu virer qq (petites) infections en consultant les bons conseils délivrés dans les sujets. Mais aujourd'hui, l'infection est plus résistante et je me vois obligée d'ouvrir mon propre sujet. 

J'ai remis à jour mon parefeu Comodo hier et super ! entre la désinstallation de l'ancienne version et l'installation de la nouvelle un virus s'est activé ! (comme quoi un firewall ça sert) Du coup, aucune idée d'où il vient, peut-être un spam que j'aurai ouvert depuis Thunderbird...

 Enfin, bref, maintenant AntiVir me détecte un troyen TR/2ndThought sous un nom comme CBAE.tmp ou CB105.tmp dans mes fichiers temporaires Windows. Je peux l'ignorer mais dix secondes plus tard, le petit malin recrée un nouveau fichier temporaire infecté sous un nouveau nom...

Par quoi je commence ?
Merci d'avance !

Configuration: Windows XP/ Firefox 3.6.3

H3RV3 · Answer

Salut,

On va commencer par analyser ton PC comme ceci :

&#9679; Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

&#9679; Sous XP : Double clique sur ZHPDiag_silent.exe
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPDiag_silent.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Patiente pendant le scan. Un rapport s'ouvrira à la fin.

&#9679; Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

Cadratyn · Answer

Merci, 

J'ai donc téléchargé et exécuté ZHPDiag mais aucun scan ne s'effectue même en désactivant Antivir et Comodo. Aucun doc txt n'apparaît non plus sur mon bureau.
Ah, et truc pas bon : maintenant on me signale que la Corbeille de C: est maintenant défectueuse...

H3RV3 · Answer

Bon, essaie de cette manière alors :

&#9679; Télécharge ZHPDiag de Nicolas Coolman sur ton bureau

&#9679; Double clique sur le fichier téléchargé pour lancer l'installation

&#9679; Laisse toi guider pendant l'installation. Coche la case pour créer un raccourci sur le bureau et exécute ZHPDiag à la fin de l'installation

&#9679; Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

&#9679; Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

&#9679; Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

&#9658; Aide en images

Cadratyn · Answer

Ca marche !
http://www.cijoint.fr/cjlink.php?file=cj201006/cij7P8vXlc.txt
Pour info, je suis en mode sans échec et je poste sur ce forum depuis un autre ordi.

H3RV3 · Answer

Ton PC ne démarre plus en mode normal ? 

Pour ton alerte, il s'agit apparemment d'un faux positif. 
Tu as Comodo comme pare-feu, mais tu as apparemment installé toute la suite, qui comprend un antivirus. 
Avira et l'antivirus Comodo entrent probablement en conflits. 
Désinstalle complètement Comodo et réinstalle-le en prenant soin de décocher l'antivirus (ne garde que le pare-feu).

Cadratyn · Answer

Si, si, il démarre mais entre les avertissement d'Antivi plus maintenant ceux de windows qui m'annoncent que ma corbeille est endommagée X fois pas moyen de faire grand chose.

Malgré tout, je l'ai quand même redémarré en normal pour pouvoir désinstaller Comodo. Mais la désinstallation échoue avec un message qui me parle d'erreur inattendue "Il s'agit peut-être d'un problème lié au package. Le code d'erreur est 2203."

J'avais auparavant désactivé Comodo dès le démarrage ce qui n'avait pas empêché les message Antivir.

Oh ce que j'aimerais que ce ne soit qu'un faux positif... Je croise les doigts.

H3RV3 · Answer

A quel moment de la désinstallation ce message d'erreur apparaît ?
As-tu plusieurs choix quand tu lances la désinstallation, si oui, essaie l'option "modifier" et décoche l'antivirus.

Xplode · Answer

Hello à vous deux,

@H3RV3,

Je vois plusieurs infections sur le rapport ZHPDiag, peut être que le problème vient de là?

Bonne chasse, @+

H3RV3 · Answer

Salut Xplode,

Il y a effectivement quelques traces que je vais faire supprimer après.

Mais pour l'alerte Avira, je pense que cela vient bien de Comodo :
https://www.sysopt.com/showthread.php?205486-TR-2ndThought-AA-2
http://forums.comodo.com/...
https://www.bleepingcomputer.com/forums/t/316075/avira-antivir-flags-tr2ndthoughtaa2-trojan/

A+

Cadratyn · Answer

H3RV3,
Non, pas de choix au moment de la désinstallation.
Le message apparaît lorsque la barre de progression est à peu près remplie aux 3/4.
Il s'agirait donc bien d'une infection ?

H3RV3 · Answer

Ok, on va supprimer les traces de malwares pour lever le doute :

&#9679; Double clique sur ZHPFix qui présent sur ton bureau

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
[HKLM\Software\AskBarDis]
O43 - CFD:Common File Directory ----D- C:\Program Files\VVSN




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin


Redémarre ensuite ton PC et essaie à nouveau de désinstaller Comodo.


Est-ce toi qui a installé l'économiseur d'écran "Zhou Fan - art screensaver.scr" ?

Cadratyn · Answer

Bon,

Je ne peux toujours pas désinstaller Comodo : toujours le même message d'erreur. Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijFMkyhYk.txt


Oui, c'est moi qui ai installé l'écran de veille. Faut que je le vire ?

H3RV3 · Answer

Non, je pense que tu peux garder l'écran de veille.

Essaie de lancer une installation de Comodo par dessus celle existante.
(en lançant l'installeur si tu l'as encore ou en le retéléchargeant)
N'oublie pas, bien sûr, de décocher l'antivirus.

Cadratyn · Answer

Lorsque je double clique sur l'installeur, rien ne se passe. Je l'ai retéléchargé au cas où, j'ai désactivé Antivir, mais toujours rien.
En fait, d'après le rapport, est-ce que ZHPFix a désinfecté les traces sur mon ordi?

H3RV3 · Answer

Oui, ZHPFix a supprimé les différentes traces.

Fais ceci :

&#9679; Clique sur le menu démarrer puis choisis Exécuter

&#9679; Dans la nouvelle fenêtre, tape : set >> c:\set.txt

&#9679; Copie/colle le contenu du fichier C:\set.txt dans ta réponse

cadratyn · Answer

Ah, super !

Par contre, je me sens boulette : quand je tape la ligne que tu me dis dans Exécuter, Windows me dit qu'il en trouve pas 'set' 
??

H3RV3 · Answer

Bien sûr ! J'ai oublié une étape désolé.. 


Fais ceci : 

&#9679; Clique sur le menu démarrer puis choisis Exécuter 

&#9679; Tape : cmd puis clique sur OK 

&#9679; Dans la nouvelle fenêtre, tape : set >> c:\set.txt
  
&#9679; Copie/colle le contenu du fichier C:\set.txt dans ta réponse

cadratyn · Answer

En même temps, quand on s'y connaît, je me doute qu'on puisse oublier de signaler des étapes tant elles semblent évidentes.

http://www.cijoint.fr/cjlink.php?file=cj201006/cijnUlx8lx.txt

H3RV3 · Answer

Je ne trouve pas grand chose sur cette erreur.
Je vais encore faire des recherches, en attendant voilà ce que tu vas faire.

Sais-tu quelle version de version XP tu as (familiale ou professionnelle) ?
Si tu ne sais pas, appuie simultanément sur les touches Windows (entre ctrl et alt) et pause (en haut à droite), la version sera indiquée sur la fenêtre qui va s'ouvrir.


Puis on va vérifier la présence d'éventuels malwares :

&#9679; Télécharge Malwarebytes' Anti-Malware (MBAM)

&#9679; Double clique sur mbam-setup.exe pour lancer l'installation

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance MBAM et laisse les Mises à jour se télécharger

&#9679; Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

&#9679; A la fin du scan, clique sur Afficher les résultats

&#9679; Coche tous les éléments détectés puis clique sur Supprimer la sélection

&#9679; S'il t'est demandé de redémarrer, clique sur Yes

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM

Cadratyn · Answer

OK, je t'envoie ça. J'ai déjà Malwayebytes d'installé. 

En attendant que le scan se fasse, une info si ça peut t'aider. 
A tout hasard, vu que l'installeur Comodo marchait pas, j'ai essayé de faire tourner les installeurs de petites appli que je gardais sous le coude au cas où et idem : aucun installeur se déclenche.
J'ai essayé de dézipper des fichiers, ça ne marche pas non plus. Mais Winrar m'affiche une info (utile ?) : "impossible de créer le fichier temporaire. Accès refusé".

J'envoie le scan quand il est fini

H3RV3 · Answer

Ok, j'attends ton rapport.
J'espère que tu n'as pas oublié de mettre à jour Malwarebytes avant d'avoir lancé le scan.

Concernant la version de Windows XP, peux-tu me donner l'info ?

Cadratyn · Answer

Bonsoir,

La version de Windows c'est :
Media Center Edition
Edition 2002
Service pack 3

Je n'ai pas pu mettre à jour Malwarebytes. Quand je clique sur l'icône MBAM en mode normal rien ne s'ouvre, seul un message qui apparait : 'Erreur d'exécution 481. Image incorrecte'.
Je l'ai donc lancé avec windows en mode sans échec, mais du coup, je ne peux pas faire l'update. Le dernière mise à jour date de deux mois.

Du coup, je ne suis pas certaine de l'utilité du scan mais je te l'envoie quand même.

http://www.cijoint.fr/cjlink.php?file=cj201006/cij4vxyEey.txt

H3RV3 · Answer

Peut être peux-tu essayer de faire la mise à jour en mode sans échec avec prise en charge du réseau.

Par contre, tu n'as pas supprimé les éléments trouvés, n'oublie pas de le faire à la fin du scan, de cette manière :
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection


Mais avant cela, je vais te demander de faire autre chose :
Démarre ton PC en mode sans échec.

On va afficher les fichiers/dossiers cachés :

&#9679; Va dans le menu démarrer
&#9679; Clique sur Poste de travail (ou Ordinateur si tu es sous Vista)
&#9679; Clique l'onglet Affichage
&#9679; Clique sur le menu "Outils "
&#9679; Clique sur "Options des dossiers... "
&#9679; Puis clique sur l'onglet "Affichage"
&#9679; Coche la case "Afficher les fichiers et dossiers cachés"
&#9679; Clique sur le bouton "OK"

Rends-toi ensuite dans ce dossier :
C:\Documents and Settings\Nicanor\Local Settings

Fais un clic droit sur le dossier Temp et choisis Propriétés.
Clique sur l'onglet Sécurité.
Dans le cadre "Noms d'utilisateurs ou de groupe", donne moi les différents noms présents.
Clique ensuite sur le bouton "Paramètres avancés" et va dans l'onglet Propriétaire.
Dis-moi ce qui est noté sous "Propriétaire actuel de cet élément".

cadratyn · Answer

Justement j'avais tenté avec prise en charge réseau mais Malwarebytes n'arrivait pas non plus à accéder. Il y a moyen de mettre à jour manuellement Malwarebytes en changeant/ajoutant un fichier de données dans son dossier ? J'ai autre ordi sur lequel je peux mettre à jour Malwarebytes.

Pour répondre à tes questions...
les "Noms d'utilisateurs ou de groupe" sont
Administrateurs (NICOLAS\Administrateurs)
Nicanor (NICOLAS\Nicanor)
SYSTEM

le propriétaire actuel est :
Nicanor (NICOLAS\Nicanor)

H3RV3 · Answer

Ok, çà a l'air correct, il me faudrait encore quelques infos :
Rends-toi à nouveau dans ce dossier :
C:\Documents and Settings\Nicanor\Local Settings

Fais un clic droit sur le dossier Temp et choisis Propriétés.
Clique sur l'onglet Sécurité.
Dans le cadre "Noms d'utilisateurs ou de groupe", clique sur les trois lignes, l'une après l'autre :
Administrateurs (NICOLAS\Administrateurs)
Nicanor (NICOLAS\Nicanor)
SYSTEM
et indique à chaque fois quelle sont les cases cochées en dessous.

Pour Malwarebytes, tu peux faire une mise à jour manuelle.
Télécharge mbam-rules.exe puis exécute le.
Fais ensuite un scan complet de ton PC.

cadratyn · Answer

Pour répondre à ta question : 

Administrateurs (NICOLAS\Administrateurs)
Nicanor (NICOLAS\Nicanor)
SYSTEM 
pour chaque ligne, les mêmes cases sont cochées, c'est-à-dire toutes sauf la dernière.

J'essaye de mettre à jour Malwarebytes et j'envoie le scan

H3RV3 · Answer

J'attends ton rapport Malwarebytes.

Le problème d'installation/désinstallation de Comodo viendrait d'un problème de droit d'écriture sur un ou des dossiers.
Il faudrait que tu refasses une manip pour deux autres dossiers :
Fais un clic droit sur le dossier C:\Windows\Temp puis C:\Windows\installer et choisis Propriétés.
Clique sur l'onglet Sécurité.
Dans le cadre "Noms d'utilisateurs ou de groupe", clique sur les lignes, l'une après l'autre et indique à chaque fois quelle sont les cases cochées en dessous.

cadratyn · Answer

Bonjour Hervé!

Voilà, j'ai enfin réussi à remettre à jour Malwarebytes. J'ai dû le réinstaller en mode sans échec. Je vais pouvoir commencer ce fameux scan.

En attendant, voici les réponses à tes questions :


pour C:\Windows\Temp :

Administrateurs (NICOLAS\Administrateurs)
Toutes sauf dernière

CREATEUR PROPRIETAIRE
Seulement la dernière

Nicanor (NICOLAS\Nicanor)
Seulement la dernière

SYSTEM
Toutes sauf dernière

Utilisateurs (NICOLAS\Utilisateurs)
Lecture et exécution/ Affichage du contenu du dossier/ Lecture / Autorisations spéciales

______________________
pour C:\Windows\installer :

Administrateurs (NICOLAS\Administrateurs)
Toutes 

CREATEUR PROPRIETAIRE
Seulement la dernière

SYSTEM
Toutes sauf dernière

Utilisateurs (NICOLAS\Utilisateurs)
Lecture et exécution/ Affichage du contenu du dossier/ Lecture / Autorisations spéciales

cadratyn · Answer

Voici le rapport Malwarebytes :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijBHa73Xo.txt

H3RV3 · Answer

Bien, supprime le dossier C:\Program Files\VVSN\ si il est encore présent.
Redémarre ton PC et essaie à nouveau de désinstaller Comodo.

cadratyn · Answer

VVSN n'y est déjà plus... Mais je ne peux toujours pas désinstaller Comodo. Ni installer quoique ce soit hors mode sans échec....

H3RV3 · Answer

Ok, on va essayer de réinstaller/mettre à jour Windows Installer :

&#9679; Télécharge WindowsXP-KB942288-v3-x86.exe sur ton bureau

&#9679; Exécute WindowsXP-KB942288-v3-x86.exe et suis les instructions d'installation

&#9679; Redémarre ton PC et refais un essai

cadratyn · Answer

J'ai suivi tes instructions. Windows Installer s'est réinstallé.
Mais... Comodo continue de squatter. Toujours l'erreur 2203 en fin de désinstallation... Beuh...

H3RV3 · Answer

Bon, je n'ai pas vraiment trouvé de solution à cette erreur 2203..

As-tu les CDs de Windows ?

cadratyn · Answer

Euh, je sais plus trop où ils sont...
Faut que je réinstalle Windows ?

H3RV3 · Answer

Pas une réinstallation, mais il faudrait tenter une réparation.

cadratyn · Answer

Je n'ai pas toujours pas retrouvé le CD de Windows (je viens de déménager, il a dû se paumer entre les cartons)

Mais... j'ai réussi à magouiller une solution ! Bon, OK, c'est du gros bricolage mais ça marche. Vu que les problèmes de désinstallation venaient à ce que j'ai compris du fait que j'avais perdu la main dans mon compte administrateur, j'ai créé une second compte administrateur sous un autre nom. Et à partir de celui-ci, j'ai pu désinstaller Comodo ! 

Et effectivement, une fois Comodo parti tout s'est bien remis en place : je peux installer, dézipper, ma corbeille n'est plus défectueuse et je n'ai plus d'alertes Antivir !

Donc, merci, je n'aurai jamais pu trouver la solution toute seule ! (et jamais cru que ça venait de Comodo).

Merci ! et bonne continuation !

H3RV3 · Answer

Salut,

Si je comprend bien, en créant un nouvel utilisateur, tu as pu désinstaller Comodo, le message d'erreur 2203 n'est pas apparu ?

Et avec ce nouvel utilisateur, tu ne rencontres plus aucun problème (d'installation ou autre) ?

cadratyn · Answer

Salut, 

Oui, via un nouvel utilisateur administrateur j'ai pu désinstaller Comodo sans erreur 2023. Et je ne rencontre plus aucun problème avec mon utilisateur classique (Nicolas) depuis que j'ai désinstallé Comodo. J'ai donc même pu supprimer le nouvel utilisateur.
Moi non plus j'aurai pas cru que ça marcherait :  pourquoi Comodo m'aurais fait perdre la main sur mon compte administrateur Nicolas et pas sur le nouveau compte administrateur ? Mais ça marche.

En attendant, merci beaucoup pour ton aide !
Problème résolu.

Bye,

Infection TR/2ndThought

39 réponses

Discussions similaires

Newsletters