ordi infecté par un cheval de troie,que faireRésolu/Fermé

Question

Bonjour, 

Depuis peu, je ne peu plus démarrer mon ordinateur, ou plus précisément, je peu le démarrer mais dés que le fond d'écran apparait, la session se ferme et reviens sur la "page" ou est "ressencer" le nom de chaque utilisateur (en l'occurence il n'y à que moi). Après, impossible d'ouvrir ma session. (l'icône affiche "déconnexion alors que ma session n'a pas eu le temps de s'ouvrir).

Je pense que cela à un lien avec le virus que mon logiciel antivirus avait détecter le matin (virus de type cheval de Troie]). Étrange cependant car j'avais supprimé les fichiers infestés (mais peut être certain m'ont-il échappé). 

Bref je flippe un peu que quelqu'un "contrôle" mon ordi. En découle plusieurs question ; est-ce que je peu faire quelque chose contre sa sachant que je ne puis pu me connecter à ma session, si non, y'a t'il un moyen pour couper l'accès à l'utilisateur du cheval de Troie ? (en débranchant l'ordi?).

Enfin si tous est perdu, je me demande si il est possible de récupérer les donné de mon disc-dur si je l'enlève et le transforme en disc-dur externe en achetant un boitier.

Voila, dsl c'est un peu long, merci d'avance pour vos réponse ! 




Configuration: Windows 7 / Firefox 3.6.3

Shad || x || · Accepted Answer

Salut,

Enfin si tous est perdu, je me demande si il est possible de récupérer les donné de mon disc-dur si je l'enlève et le transforme en disc-dur externe en achetant un boitier. 

Alors là je dis: heeein ???!!!

Bref, pars du principe que le virus est sur ton disque dur donc  ce n'est pas en changeant de boitier ou en changeant je ne sais quoi que tu pourras récupérer tes données.


Tu es donc sur un autre PC là ?

Le mode sans échec fonctionne t-il sur le pc infecté ? Tapote la touche F8 (ou F5 pour certains PC) au démarrage de l'ordi dis moi si tu peux aller en mode sans échec.

bbb_8 · Answer

Oui, je suis bien sur un autre ordi.

En enlevant le disc-dur je n'espère pas sauvé les donnés mais plutôt récupérer quelque fichier ainsi que musique et film. 
Je n'y connais rien, alors peut être que ce que je dit est ridicule.

Concernant le mode sans échec, quand j'appuie sur F8, j'arrive à un écran bleue titré "Boot Menu" ou l'on peu sélectionner deux menus : "Hard Disk" et "CDROM".
Ces deux menus se déroulent en sous-menu, et peu importe se que je sélectionne, cela ne change rien au processus de démarrage. 
Par contre, quand je sélectionne "Hard Disk" puis "Bootable Add-in cards", l'écran m'indique : "DISK BOOT FAILURE INSERT SYSTEM DISK AND PRESS ENTER".


voila, voila, je n'y comprend pas grand chose.

bbb_8 · Answer

hem, dsl pour le double post mais je vien de regarder la signification de "DISK BOOT FAILURE", c'est pas très bon...

Shad || x || · Answer

Je reviens demain.
On utilisera un live cd pour booter sur ta machine et voir un peu ce qui ne va pas.

Bonne soirée et à demain.

bbb_8 · Answer

bon,  alors j'ai essayer le mode sans échec et... sa ne marche pas, le problème est toujours le même.

J'ai essayer de démarrer l'ordi avec un cd-rom d'installation de Windows (qui n'est pas le même que celui qui à servi pour installer celui qui est actuellement sur le PC, je sais pas si sa change quelque chose).

J'ai atérie sur un écran bleue ou se lançais l'installation de Windows, et quand j'ai appuyer sur F2 pour "lancer la récupération automatique" il à fallu que j"insère un disque de récupération système automatique Windows dans le lecteur disquette"...ce que j'aurais fais si j'avais su ce que c'était.

bbb_8 · Answer

et bien je suis au point mort, le mode sans échec ne marche pas, je ne peut toujours pas accéder a mon bureau.

Qu'est ce que tu veu dire par "utilisera un live cd pour booter sur ta machine"

Shad || x || · Answer

Ce que je te propose moi: 

*-*-*-*-*-*-*-*-*- 

Note : Ce fichier est assez volumineux, on utilisera donc ton lecteur CD/DVD et un CD vierge sur ta machine. 
Un Périphérique USB serait pratique également. 

# Télécharge OTLPENet sur ton bureau. 

# Insère dans ton lecteur/graveur CD/DVD , un CD vierge puis lance OTLPENet. 

# Une fenêtre s'ouvrira pour te demander si tu souhaites graver le CD, clique sur [Oui]. 

# Patiente pendant la gravure. Une fois le CD gravé, insère le dans le lecteur CD/DVD du PC infecté. 

Note : Maintenant que le CD est gravé, il faut faire redémarrer le PC sur le lecteur CDROM. 
Un tutoriel est disponible ici 


# Une fois le CD lancé, Windows se charge et tu arrives sur le bureau REATOGO-X-PE 

# Double clique sur OTLPE 

# Une fenêtre s'ouvre : Do you wish to load the remote registry , Clique sur [YES]. 
# Une seconde : Do you wish to load remote user profile(s) for scanning , Clique sur [YES]. 
# Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuye sur [OK]. 


* Sous Custom Scan box copie_colle le contenu en gras ci dessous: 


netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.* 
%SYSTEMDRIVE%\*.exe 
%PROGRAMFILES%\*.* 
%PROGRAMFILES%\*. 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
explorer.exe 
svchost.exe 
userinit.exe 
qmgr.dll 
ws2_32.dll 
proquota.exe 
imm32.dll 
kernel32.dll 
ndis.sys 
autochk.exe 
spoolsv.exe 
xmlprov.dll 
ntmssvc.dll 
mswsock.dll 
Beep.SYS 
ntfs.sys 
termsrv.dll 
sfcfiles.dll 
st3shark.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
c:\$recycle.bin\*.* /s 




# OTL Va se lancer. Clique sur [Run Scan] pour démarrer l'analyse. 

# Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt. 

# Copies le fichier sur une clé usb si tu n'as pas accès à Internet. 

# Poste le contenu du rapport OTL.txt dans ta prochaine réponse. 
O.o°*|| $?@??W || °o.O

bbb_8 · Answer

Voila le rapport :


http://dl.free.fr/getfile.pl?file=/boxpqdhG

Shad || x || · Answer

* redemarre sur reatogo    
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune   

* Double-click sur l'icone OTLPE   
* quand demandé "Do you wish to load the remote registry", select Yes   
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes   
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK   


* sous Custom Scan box copie colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparaitra suite à l'opération que tu conserveras sur clé usb par exemple afin d'en coller le resultat:   


:OTL   
O3 - HKU\moi_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.       
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player   
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)       
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe File not found       
O4 - HKLM\..\Run: [ISUSScheduler] C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)       
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)       

[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp ->  ]   
[4 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]   
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]   
[1 C:\Documents and Settings\moi\*.tmp files -> C:\Documents and Settings\moi\*.tmp -> ]   

files:   
C:\Program Files\Ask.com
C:\Program Files\Conduit   
C:\Documents and Settings\moi\Local Settings\Application Data\Conduit   
C:\Program Files\Viewpoint   
C:\cmdcons\autochk.exe   
C:\WINDOWS\I386\AUTOCHK.EXE   



* Dis moi si ton PC redémarre sous windows.   
O.o°*|| $?@??W || °o.O

bbb_8 · Answer

quand je redémarre mon pc il y a tjs le meme probleme, je ne peut aller plus loin que la page de connection au session.

voila le rapport,

========== OTL ==========
Registry value HKEY_USERS\moi_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\ime\IMJP8_1\imjpmig.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\system32\NeroCheck.exe moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
========== REGISTRY ==========
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit"|"C:\WINDOWS\system32\userinit.exe," /E : value set successfully!
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell"|"explorer.exe"C:\Program Files\ConduitC:\Documents and Settings\moi\Local Settings\Application Data\ConduitC:\Program Files\ViewpointC:\cmdcons\autochk.exeC:\WINDOWS\I386\AUTOCHK.EXE /E : value set successfully!
 
OTLPE by OldTimer - Version 3.1.39.0 log created on 07242010_225357

Shad || x || · Answer

* redémarre sur reatogo
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

* Double-clic sur l'icône OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et presse OK


* sous Custom Scan box copie colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparaitra suite à l'opération que tu conserveras sur clé usb par exemple afin d'en coller le resultat:


:OTL
 DRV - [2008/10/10 13:18:17 | 000,032,768 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\SSHDRV57.sys -- (SSHDRV57)
 O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)

:files
C:\Program Files\Ask.com
C:\Program Files\Conduit
C:\Documents and Settings\moi\Local Settings\Application Data\Conduit
C:\Program Files\Conduit
C:\WINDOWS\system32\drivers\SSHDRV57.sys

Ordi infecté par un cheval de troie,que faire

11 réponses

Discussions similaires

Newsletters