Ordi infecté par un cheval de troie,que faire
Résolu
bbb_8
Messages postés
20
Date d'inscription
Statut
Membre
Dernière intervention
-
toto -
toto -
Bonjour,
Depuis peu, je ne peu plus démarrer mon ordinateur, ou plus précisément, je peu le démarrer mais dés que le fond d'écran apparait, la session se ferme et reviens sur la "page" ou est "ressencer" le nom de chaque utilisateur (en l'occurence il n'y à que moi). Après, impossible d'ouvrir ma session. (l'icône affiche "déconnexion alors que ma session n'a pas eu le temps de s'ouvrir).
Je pense que cela à un lien avec le virus que mon logiciel antivirus avait détecter le matin (virus de type cheval de Troie]). Étrange cependant car j'avais supprimé les fichiers infestés (mais peut être certain m'ont-il échappé).
Bref je flippe un peu que quelqu'un "contrôle" mon ordi. En découle plusieurs question ; est-ce que je peu faire quelque chose contre sa sachant que je ne puis pu me connecter à ma session, si non, y'a t'il un moyen pour couper l'accès à l'utilisateur du cheval de Troie ? (en débranchant l'ordi?).
Enfin si tous est perdu, je me demande si il est possible de récupérer les donné de mon disc-dur si je l'enlève et le transforme en disc-dur externe en achetant un boitier.
Voila, dsl c'est un peu long, merci d'avance pour vos réponse !
Depuis peu, je ne peu plus démarrer mon ordinateur, ou plus précisément, je peu le démarrer mais dés que le fond d'écran apparait, la session se ferme et reviens sur la "page" ou est "ressencer" le nom de chaque utilisateur (en l'occurence il n'y à que moi). Après, impossible d'ouvrir ma session. (l'icône affiche "déconnexion alors que ma session n'a pas eu le temps de s'ouvrir).
Je pense que cela à un lien avec le virus que mon logiciel antivirus avait détecter le matin (virus de type cheval de Troie]). Étrange cependant car j'avais supprimé les fichiers infestés (mais peut être certain m'ont-il échappé).
Bref je flippe un peu que quelqu'un "contrôle" mon ordi. En découle plusieurs question ; est-ce que je peu faire quelque chose contre sa sachant que je ne puis pu me connecter à ma session, si non, y'a t'il un moyen pour couper l'accès à l'utilisateur du cheval de Troie ? (en débranchant l'ordi?).
Enfin si tous est perdu, je me demande si il est possible de récupérer les donné de mon disc-dur si je l'enlève et le transforme en disc-dur externe en achetant un boitier.
Voila, dsl c'est un peu long, merci d'avance pour vos réponse !
A voir également:
- Ordi infecté par un cheval de troie,que faire
- Mon ordi rame que faire - Guide
- Comment reinitialiser un ordi - Guide
- Ordi scrabble - Télécharger - Jeux vidéo
- Plus de son sur mon ordi - Guide
- Reinitialiser un ordi sans mot de passe - Guide
11 réponses
Salut,
Enfin si tous est perdu, je me demande si il est possible de récupérer les donné de mon disc-dur si je l'enlève et le transforme en disc-dur externe en achetant un boitier.
Alors là je dis: heeein ???!!!
Bref, pars du principe que le virus est sur ton disque dur donc ce n'est pas en changeant de boitier ou en changeant je ne sais quoi que tu pourras récupérer tes données.
Tu es donc sur un autre PC là ?
Le mode sans échec fonctionne t-il sur le pc infecté ? Tapote la touche F8 (ou F5 pour certains PC) au démarrage de l'ordi dis moi si tu peux aller en mode sans échec.
Enfin si tous est perdu, je me demande si il est possible de récupérer les donné de mon disc-dur si je l'enlève et le transforme en disc-dur externe en achetant un boitier.
Alors là je dis: heeein ???!!!
Bref, pars du principe que le virus est sur ton disque dur donc ce n'est pas en changeant de boitier ou en changeant je ne sais quoi que tu pourras récupérer tes données.
Tu es donc sur un autre PC là ?
Le mode sans échec fonctionne t-il sur le pc infecté ? Tapote la touche F8 (ou F5 pour certains PC) au démarrage de l'ordi dis moi si tu peux aller en mode sans échec.
hem, dsl pour le double post mais je vien de regarder la signification de "DISK BOOT FAILURE", c'est pas très bon...
euh oui ça ne présage rien de bon
Il faut que tu puisse accéder à ce menu:
http://images.pcastuces.com/mode_sans_echec_01.gif
essaye avec F5 si F8 te renvoie au menu boot...
Il faut que tu puisse accéder à ce menu:
http://images.pcastuces.com/mode_sans_echec_01.gif
essaye avec F5 si F8 te renvoie au menu boot...
bon, alors j'ai essayer le mode sans échec et... sa ne marche pas, le problème est toujours le même.
J'ai essayer de démarrer l'ordi avec un cd-rom d'installation de Windows (qui n'est pas le même que celui qui à servi pour installer celui qui est actuellement sur le PC, je sais pas si sa change quelque chose).
J'ai atérie sur un écran bleue ou se lançais l'installation de Windows, et quand j'ai appuyer sur F2 pour "lancer la récupération automatique" il à fallu que j"insère un disque de récupération système automatique Windows dans le lecteur disquette"...ce que j'aurais fais si j'avais su ce que c'était.
J'ai essayer de démarrer l'ordi avec un cd-rom d'installation de Windows (qui n'est pas le même que celui qui à servi pour installer celui qui est actuellement sur le PC, je sais pas si sa change quelque chose).
J'ai atérie sur un écran bleue ou se lançais l'installation de Windows, et quand j'ai appuyer sur F2 pour "lancer la récupération automatique" il à fallu que j"insère un disque de récupération système automatique Windows dans le lecteur disquette"...ce que j'aurais fais si j'avais su ce que c'était.
Ce que je te propose moi:
*-*-*-*-*-*-*-*-*-
Note : Ce fichier est assez volumineux, on utilisera donc ton lecteur CD/DVD et un CD vierge sur ta machine.
Un Périphérique USB serait pratique également.
# Télécharge OTLPENet sur ton bureau.
# Insère dans ton lecteur/graveur CD/DVD , un CD vierge puis lance OTLPENet.
# Une fenêtre s'ouvrira pour te demander si tu souhaites graver le CD, clique sur [Oui].
# Patiente pendant la gravure. Une fois le CD gravé, insère le dans le lecteur CD/DVD du PC infecté.
Note : Maintenant que le CD est gravé, il faut faire redémarrer le PC sur le lecteur CDROM.
Un tutoriel est disponible ici
# Une fois le CD lancé, Windows se charge et tu arrives sur le bureau REATOGO-X-PE
# Double clique sur OTLPE
# Une fenêtre s'ouvre : Do you wish to load the remote registry , Clique sur [YES].
# Une seconde : Do you wish to load remote user profile(s) for scanning , Clique sur [YES].
# Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuye sur [OK].
* Sous Custom Scan box copie_colle le contenu en gras ci dessous:
# OTL Va se lancer. Clique sur [Run Scan] pour démarrer l'analyse.
# Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt.
# Copies le fichier sur une clé usb si tu n'as pas accès à Internet.
# Poste le contenu du rapport OTL.txt dans ta prochaine réponse.
O.o°*|| $?@??W || °o.O
*-*-*-*-*-*-*-*-*-
Note : Ce fichier est assez volumineux, on utilisera donc ton lecteur CD/DVD et un CD vierge sur ta machine.
Un Périphérique USB serait pratique également.
# Télécharge OTLPENet sur ton bureau.
# Insère dans ton lecteur/graveur CD/DVD , un CD vierge puis lance OTLPENet.
# Une fenêtre s'ouvrira pour te demander si tu souhaites graver le CD, clique sur [Oui].
# Patiente pendant la gravure. Une fois le CD gravé, insère le dans le lecteur CD/DVD du PC infecté.
Note : Maintenant que le CD est gravé, il faut faire redémarrer le PC sur le lecteur CDROM.
Un tutoriel est disponible ici
# Une fois le CD lancé, Windows se charge et tu arrives sur le bureau REATOGO-X-PE
# Double clique sur OTLPE
# Une fenêtre s'ouvre : Do you wish to load the remote registry , Clique sur [YES].
# Une seconde : Do you wish to load remote user profile(s) for scanning , Clique sur [YES].
# Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuye sur [OK].
* Sous Custom Scan box copie_colle le contenu en gras ci dessous:
netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.* %SYSTEMDRIVE%\*.exe %PROGRAMFILES%\*.* %PROGRAMFILES%\*. /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll explorer.exe svchost.exe userinit.exe qmgr.dll ws2_32.dll proquota.exe imm32.dll kernel32.dll ndis.sys autochk.exe spoolsv.exe xmlprov.dll ntmssvc.dll mswsock.dll Beep.SYS ntfs.sys termsrv.dll sfcfiles.dll st3shark.sys /md5stop %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav c:\$recycle.bin\*.* /s
# OTL Va se lancer. Clique sur [Run Scan] pour démarrer l'analyse.
# Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt.
# Copies le fichier sur une clé usb si tu n'as pas accès à Internet.
# Poste le contenu du rapport OTL.txt dans ta prochaine réponse.
O.o°*|| $?@??W || °o.O
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oui, je suis bien sur un autre ordi.
En enlevant le disc-dur je n'espère pas sauvé les donnés mais plutôt récupérer quelque fichier ainsi que musique et film.
Je n'y connais rien, alors peut être que ce que je dit est ridicule.
Concernant le mode sans échec, quand j'appuie sur F8, j'arrive à un écran bleue titré "Boot Menu" ou l'on peu sélectionner deux menus : "Hard Disk" et "CDROM".
Ces deux menus se déroulent en sous-menu, et peu importe se que je sélectionne, cela ne change rien au processus de démarrage.
Par contre, quand je sélectionne "Hard Disk" puis "Bootable Add-in cards", l'écran m'indique : "DISK BOOT FAILURE INSERT SYSTEM DISK AND PRESS ENTER".
voila, voila, je n'y comprend pas grand chose.
En enlevant le disc-dur je n'espère pas sauvé les donnés mais plutôt récupérer quelque fichier ainsi que musique et film.
Je n'y connais rien, alors peut être que ce que je dit est ridicule.
Concernant le mode sans échec, quand j'appuie sur F8, j'arrive à un écran bleue titré "Boot Menu" ou l'on peu sélectionner deux menus : "Hard Disk" et "CDROM".
Ces deux menus se déroulent en sous-menu, et peu importe se que je sélectionne, cela ne change rien au processus de démarrage.
Par contre, quand je sélectionne "Hard Disk" puis "Bootable Add-in cards", l'écran m'indique : "DISK BOOT FAILURE INSERT SYSTEM DISK AND PRESS ENTER".
voila, voila, je n'y comprend pas grand chose.
Je reviens demain.
On utilisera un live cd pour booter sur ta machine et voir un peu ce qui ne va pas.
Bonne soirée et à demain.
On utilisera un live cd pour booter sur ta machine et voir un peu ce qui ne va pas.
Bonne soirée et à demain.
et bien je suis au point mort, le mode sans échec ne marche pas, je ne peut toujours pas accéder a mon bureau.
Qu'est ce que tu veu dire par "utilisera un live cd pour booter sur ta machine"
Qu'est ce que tu veu dire par "utilisera un live cd pour booter sur ta machine"
* redemarre sur reatogo
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune
* Double-click sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* sous Custom Scan box copie colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparaitra suite à l'opération que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
* Dis moi si ton PC redémarre sous windows.
O.o°*|| $?@??W || °o.O
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune
* Double-click sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* sous Custom Scan box copie colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparaitra suite à l'opération que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
O3 - HKU\moi_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe File not found
O4 - HKLM\..\Run: [ISUSScheduler] C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Documents and Settings\moi\*.tmp files -> C:\Documents and Settings\moi\*.tmp -> ]
files:
C:\Program Files\Ask.com
C:\Program Files\Conduit
C:\Documents and Settings\moi\Local Settings\Application Data\Conduit
C:\Program Files\Viewpoint
C:\cmdcons\autochk.exe
C:\WINDOWS\I386\AUTOCHK.EXE
* Dis moi si ton PC redémarre sous windows.
O.o°*|| $?@??W || °o.O
quand je redémarre mon pc il y a tjs le meme probleme, je ne peut aller plus loin que la page de connection au session.
voila le rapport,
========== OTL ==========
Registry value HKEY_USERS\moi_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\ime\IMJP8_1\imjpmig.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\system32\NeroCheck.exe moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
========== REGISTRY ==========
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe"C:\Program Files\ConduitC:\Documents and Settings\moi\Local Settings\Application Data\ConduitC:\Program Files\ViewpointC:\cmdcons\autochk.exeC:\WINDOWS\I386\AUTOCHK.EXE /E : value set successfully!
OTLPE by OldTimer - Version 3.1.39.0 log created on 07242010_225357
voila le rapport,
========== OTL ==========
Registry value HKEY_USERS\moi_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\ime\IMJP8_1\imjpmig.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\system32\NeroCheck.exe moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
========== REGISTRY ==========
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe"C:\Program Files\ConduitC:\Documents and Settings\moi\Local Settings\Application Data\ConduitC:\Program Files\ViewpointC:\cmdcons\autochk.exeC:\WINDOWS\I386\AUTOCHK.EXE /E : value set successfully!
OTLPE by OldTimer - Version 3.1.39.0 log created on 07242010_225357
Arf =/
refais la première étape:
https://forums.commentcamarche.net/forum/affich-18591429-ordi-infecte-par-un-cheval-de-troie-que-faire#10
je vais regarder si il y a autre chose...
refais la première étape:
https://forums.commentcamarche.net/forum/affich-18591429-ordi-infecte-par-un-cheval-de-troie-que-faire#10
je vais regarder si il y a autre chose...
* redémarre sur reatogo
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune
* Double-clic sur l'icône OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et presse OK
* sous Custom Scan box copie colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparaitra suite à l'opération que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune
* Double-clic sur l'icône OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et presse OK
* sous Custom Scan box copie colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparaitra suite à l'opération que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL DRV - [2008/10/10 13:18:17 | 000,032,768 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\SSHDRV57.sys -- (SSHDRV57) O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) :files C:\Program Files\Ask.com C:\Program Files\Conduit C:\Documents and Settings\moi\Local Settings\Application Data\Conduit C:\Program Files\Conduit C:\WINDOWS\system32\drivers\SSHDRV57.sys