Infection TR/2ndThought

Résolu/Fermé
Cadratyn - 21 juin 2010 à 11:19
 cadratyn - 24 juin 2010 à 15:52
Bonjour la communauté !

Tout d'abord merci aux gens du forum pour votre super boulot, j'ai déjà pu virer qq (petites) infections en consultant les bons conseils délivrés dans les sujets. Mais aujourd'hui, l'infection est plus résistante et je me vois obligée d'ouvrir mon propre sujet.

J'ai remis à jour mon parefeu Comodo hier et super ! entre la désinstallation de l'ancienne version et l'installation de la nouvelle un virus s'est activé ! (comme quoi un firewall ça sert) Du coup, aucune idée d'où il vient, peut-être un spam que j'aurai ouvert depuis Thunderbird...

Enfin, bref, maintenant AntiVir me détecte un troyen TR/2ndThought sous un nom comme CBAE.tmp ou CB105.tmp dans mes fichiers temporaires Windows. Je peux l'ignorer mais dix secondes plus tard, le petit malin recrée un nouveau fichier temporaire infecté sous un nouveau nom...

Par quoi je commence ?
Merci d'avance !

39 réponses

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
21 juin 2010 à 17:58
Ok, j'attends ton rapport.
J'espère que tu n'as pas oublié de mettre à jour Malwarebytes avant d'avoir lancé le scan.

Concernant la version de Windows XP, peux-tu me donner l'info ?
0
Bonsoir,

La version de Windows c'est :
Media Center Edition
Edition 2002
Service pack 3

Je n'ai pas pu mettre à jour Malwarebytes. Quand je clique sur l'icône MBAM en mode normal rien ne s'ouvre, seul un message qui apparait : 'Erreur d'exécution 481. Image incorrecte'.
Je l'ai donc lancé avec windows en mode sans échec, mais du coup, je ne peux pas faire l'update. Le dernière mise à jour date de deux mois.

Du coup, je ne suis pas certaine de l'utilité du scan mais je te l'envoie quand même.

http://www.cijoint.fr/cjlink.php?file=cj201006/cij4vxyEey.txt
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
21 juin 2010 à 20:14
Peut être peux-tu essayer de faire la mise à jour en mode sans échec avec prise en charge du réseau.

Par contre, tu n'as pas supprimé les éléments trouvés, n'oublie pas de le faire à la fin du scan, de cette manière :
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection


Mais avant cela, je vais te demander de faire autre chose :
Démarre ton PC en mode sans échec.

On va afficher les fichiers/dossiers cachés :

● Va dans le menu démarrer
● Clique sur Poste de travail (ou Ordinateur si tu es sous Vista)
● Clique l'onglet Affichage
● Clique sur le menu "Outils "
● Clique sur "Options des dossiers... "
● Puis clique sur l'onglet "Affichage"
● Coche la case "Afficher les fichiers et dossiers cachés"
● Clique sur le bouton "OK"

Rends-toi ensuite dans ce dossier :
C:\Documents and Settings\Nicanor\Local Settings

Fais un clic droit sur le dossier Temp et choisis Propriétés.
Clique sur l'onglet Sécurité.
Dans le cadre "Noms d'utilisateurs ou de groupe", donne moi les différents noms présents.
Clique ensuite sur le bouton "Paramètres avancés" et va dans l'onglet Propriétaire.
Dis-moi ce qui est noté sous "Propriétaire actuel de cet élément".
0
Justement j'avais tenté avec prise en charge réseau mais Malwarebytes n'arrivait pas non plus à accéder. Il y a moyen de mettre à jour manuellement Malwarebytes en changeant/ajoutant un fichier de données dans son dossier ? J'ai autre ordi sur lequel je peux mettre à jour Malwarebytes.

Pour répondre à tes questions...
les "Noms d'utilisateurs ou de groupe" sont
Administrateurs (NICOLAS\Administrateurs)
Nicanor (NICOLAS\Nicanor)
SYSTEM

le propriétaire actuel est :
Nicanor (NICOLAS\Nicanor)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
21 juin 2010 à 21:03
Ok, çà a l'air correct, il me faudrait encore quelques infos :
Rends-toi à nouveau dans ce dossier :
C:\Documents and Settings\Nicanor\Local Settings

Fais un clic droit sur le dossier Temp et choisis Propriétés.
Clique sur l'onglet Sécurité.
Dans le cadre "Noms d'utilisateurs ou de groupe", clique sur les trois lignes, l'une après l'autre :
Administrateurs (NICOLAS\Administrateurs)
Nicanor (NICOLAS\Nicanor)
SYSTEM
et indique à chaque fois quelle sont les cases cochées en dessous.

Pour Malwarebytes, tu peux faire une mise à jour manuelle.
Télécharge mbam-rules.exe puis exécute le.
Fais ensuite un scan complet de ton PC.
0
Pour répondre à ta question :

Administrateurs (NICOLAS\Administrateurs)
Nicanor (NICOLAS\Nicanor)
SYSTEM
pour chaque ligne, les mêmes cases sont cochées, c'est-à-dire toutes sauf la dernière.

J'essaye de mettre à jour Malwarebytes et j'envoie le scan
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
22 juin 2010 à 08:10
J'attends ton rapport Malwarebytes.

Le problème d'installation/désinstallation de Comodo viendrait d'un problème de droit d'écriture sur un ou des dossiers.
Il faudrait que tu refasses une manip pour deux autres dossiers :
Fais un clic droit sur le dossier C:\Windows\Temp puis C:\Windows\installer et choisis Propriétés.
Clique sur l'onglet Sécurité.
Dans le cadre "Noms d'utilisateurs ou de groupe", clique sur les lignes, l'une après l'autre et indique à chaque fois quelle sont les cases cochées en dessous.
0
Bonjour Hervé!

Voilà, j'ai enfin réussi à remettre à jour Malwarebytes. J'ai dû le réinstaller en mode sans échec. Je vais pouvoir commencer ce fameux scan.

En attendant, voici les réponses à tes questions :


pour C:\Windows\Temp :

Administrateurs (NICOLAS\Administrateurs)
Toutes sauf dernière

CREATEUR PROPRIETAIRE
Seulement la dernière

Nicanor (NICOLAS\Nicanor)
Seulement la dernière

SYSTEM
Toutes sauf dernière

Utilisateurs (NICOLAS\Utilisateurs)
Lecture et exécution/ Affichage du contenu du dossier/ Lecture / Autorisations spéciales

______________________
pour C:\Windows\installer :

Administrateurs (NICOLAS\Administrateurs)
Toutes

CREATEUR PROPRIETAIRE
Seulement la dernière

SYSTEM
Toutes sauf dernière

Utilisateurs (NICOLAS\Utilisateurs)
Lecture et exécution/ Affichage du contenu du dossier/ Lecture / Autorisations spéciales
0
Voici le rapport Malwarebytes :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijBHa73Xo.txt
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
22 juin 2010 à 11:38
Bien, supprime le dossier C:\Program Files\VVSN\ si il est encore présent.
Redémarre ton PC et essaie à nouveau de désinstaller Comodo.
0
VVSN n'y est déjà plus... Mais je ne peux toujours pas désinstaller Comodo. Ni installer quoique ce soit hors mode sans échec....
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
22 juin 2010 à 13:03
Ok, on va essayer de réinstaller/mettre à jour Windows Installer :

● Télécharge WindowsXP-KB942288-v3-x86.exe sur ton bureau

● Exécute WindowsXP-KB942288-v3-x86.exe et suis les instructions d'installation

● Redémarre ton PC et refais un essai
0
J'ai suivi tes instructions. Windows Installer s'est réinstallé.
Mais... Comodo continue de squatter. Toujours l'erreur 2203 en fin de désinstallation... Beuh...
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
22 juin 2010 à 20:22
Bon, je n'ai pas vraiment trouvé de solution à cette erreur 2203..

As-tu les CDs de Windows ?
0
Euh, je sais plus trop où ils sont...
Faut que je réinstalle Windows ?
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
23 juin 2010 à 11:49
Pas une réinstallation, mais il faudrait tenter une réparation.
0
Je n'ai pas toujours pas retrouvé le CD de Windows (je viens de déménager, il a dû se paumer entre les cartons)

Mais... j'ai réussi à magouiller une solution ! Bon, OK, c'est du gros bricolage mais ça marche. Vu que les problèmes de désinstallation venaient à ce que j'ai compris du fait que j'avais perdu la main dans mon compte administrateur, j'ai créé une second compte administrateur sous un autre nom. Et à partir de celui-ci, j'ai pu désinstaller Comodo !

Et effectivement, une fois Comodo parti tout s'est bien remis en place : je peux installer, dézipper, ma corbeille n'est plus défectueuse et je n'ai plus d'alertes Antivir !

Donc, merci, je n'aurai jamais pu trouver la solution toute seule ! (et jamais cru que ça venait de Comodo).

Merci ! et bonne continuation !
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
24 juin 2010 à 15:24
Salut,

Si je comprend bien, en créant un nouvel utilisateur, tu as pu désinstaller Comodo, le message d'erreur 2203 n'est pas apparu ?

Et avec ce nouvel utilisateur, tu ne rencontres plus aucun problème (d'installation ou autre) ?
0
Salut,

Oui, via un nouvel utilisateur administrateur j'ai pu désinstaller Comodo sans erreur 2023. Et je ne rencontre plus aucun problème avec mon utilisateur classique (Nicolas) depuis que j'ai désinstallé Comodo. J'ai donc même pu supprimer le nouvel utilisateur.
Moi non plus j'aurai pas cru que ça marcherait : pourquoi Comodo m'aurais fait perdre la main sur mon compte administrateur Nicolas et pas sur le nouveau compte administrateur ? Mais ça marche.

En attendant, merci beaucoup pour ton aide !
Problème résolu.

Bye,
0